211service.com
Un Internet des objets perfides
De nombreuses histoires de science-fiction présentent des appareils électroménagers ordinaires mettant en scène une révolte. Dans un épisode de futurama , grille-pain et robots domestiques se dressent contre leurs oppresseurs humains. Deux tendances commencent maintenant à rendre de tels scénarios moins farfelus.
L'un est la vague d'appareils Internet des objets en cours de développement pour les maisons, en plein écran au salon CES la semaine dernière. L'autre est le piratage accru des équipements de réseau domestique, comme en témoigne une horde de zombies de routeurs de réseau domestique découverts récemment.
Des dizaines d'entreprises ont présenté des appareils et des appareils connectés à Internet au CES, des ampoules intelligentes aux machines à laver contrôlées par un smartphone. Samsung est allé jusqu'à promettre que tous ses produits seraient connectés à Internet d'ici 2020 (voir CES 2015 : The Internet of Just About Everything ).
Pendant ce temps, Brian Krebs, chercheur en sécurité et écrivain, révélé la semaine dernière que les pirates avaient construit un réseau appelé Lizard Stressor que d'autres personnes peuvent utiliser pour mettre des sites Web hors ligne, soit pour créer une nuisance, soit à des fins criminelles. Les réseaux d'ordinateurs personnels ou de serveurs transformés en robots ne sont pas nouveaux. Ce que Krebs a découvert, cependant, c'est que Lizard Stressor s'appuie sur des routeurs utilisés dans les foyers et les réseaux commerciaux. Les appareils infectés ou compromis qui sont connectés à un réseau domestique pourraient être utilisés à des fins plus néfastes. Ils pourraient fournir un point de départ pour pénétrer dans les ordinateurs personnels ou être utilisés pour capturer des données passant sur le réseau domestique, y compris des mots de passe ou des détails de carte de crédit.
La facilité avec laquelle ces routeurs ont été compromis n'est peut-être pas surprenante. Il est bien documenté que la plupart des routeurs domestiques sont livrés avec un logiciel facile à exploiter ou avec un panneau de contrôle administratif qui utilise un nom d'utilisateur et un mot de passe par défaut tels que admin.
Les appareils intelligents incluent généralement des fonctionnalités de mise en réseau similaires. Et comme de plus en plus d'appareils électroménagers sont informatisés et connectés à Internet, les pirates pourraient porter leur attention sur ces nouvelles cibles.
Divers facteurs contribuent à l'insécurité des équipements de réseau domestique. Les consommateurs n'achètent généralement pas d'équipement en fonction des exigences de sécurité utilisées par les professionnels de l'informatique, telles qu'une garantie de mises à niveau du système d'exploitation pendant une période définie. Au contraire, les bas prix dictent les habitudes d'achat et les fonctionnalités sont inégalement incluses dans le matériel moins cher, même chez les principaux fournisseurs.
Il existe également une tension entre le renforcement de la sécurité et la commodité pour les utilisateurs. La définition d'un nom de compte et d'un mot de passe uniques pour chaque routeur serait relativement simple, car cela nécessiterait une étape physique lors de l'authentification, telle que l'insertion d'une clé USB. Mais de tels mouvements de sécurité frustrent de nombreux utilisateurs. Et cela les amène à passer des appels au support client et à retourner ces appareils au magasin.
Même lorsque les appareils sont conçus de manière sécurisée, les ports ouverts conçus pour permettre des communications légitimes avec d'autres ordinateurs peuvent permettre un accès à distance involontaire et les logiciels peuvent être obsolètes. En septembre, une entreprise a déclaré 1,2 million de routeurs avec un protocole commun pourrait être facilement abordé . En décembre, un bogue corrigé en 2002 s'est avéré toujours existent sur 12 millions de routeurs domestiques . Une méthode courante permettant aux FAI d'accéder aux routeurs des clients est également un chemin probable d'exploit pour des millions d'appareils.
Les appareils, même ceux commercialisés par les principaux fabricants, ont tendance à ne pas être mis à niveau pour trois raisons : les fabricants interrompent le support pour réduire les coûts ; les fabricants font faillite ou quittent l'entreprise ; et les clients peuvent être mal équipés pour gérer l'opération technique de mise à niveau du micrologiciel, qui peut impliquer le téléchargement d'un correctif et le téléchargement d'un via une interface administrative dans un navigateur Web.
Des centaines de millions de routeurs domestiques et de petites entreprises sont déjà déployés dans le monde. Le nombre d'appareils Internet des objets est estimé entre quatre et cinq milliards aujourd'hui et devrait atteindre 25 à 50 milliards d'ici cinq ans. Ces appareils peuvent présenter des faiblesses similaires à celles que l'on trouve dans les équipements de réseau domestique, d'autant plus que les entreprises se précipitent pour produire de nouveaux produits.
Certains régulateurs semblent conscients des pièges et semblent désireux de prévenir le type de vulnérabilités affectant les générations précédentes d'appareils embarqués. La présidente de la Federal Trade Commission des États-Unis, Edith Ramirez, a prononcé un discours d'ouverture de huit pages au CES détaillant les préoccupations de son agence concernant la confidentialité, la collecte de données et la sécurité, mettant en garde les fabricants d'appareils Internet des objets. Peut-être que cette fois, ils écouteront.