Expansion des objets connectés, augmentation des risques associés
Combien d’objets connectés non-sécurisés votre foyer compte-t-il ? Comment tous les protéger contre les cyber attaques ?
Les objets connectés se développent à toute allure. Cisco prévoit qu’en-dehors des smartphones, tablettes et PC, un américain moyen (Amérique du Nord) possédera en moyenne 14 appareils connectés, d’ici 2020. Un Européen d’Europe de l’Ouest en possédera neuf.
Les assistants personnels, comme Amazon Alexa ou Google Home, ne font qu’ouvrir davantage la voie à ce phénomène. En 2015, les objets connectés existaient à peine. En 2018, ils peuplaient déjà près d’un quart des foyers américains et 12% des foyers européens.
Appartements et maisons accueillent une puissance de calcul de plus en plus importante, qui peut s’avérer très attrayante pour les cyber criminels.
D’après un nouveau rapport F-Secure baptisé ‘Iot threat landscape – Old hacks, new devices’ (Cyber menaces et objets connectés : nouveaux appareils, mêmes piratages), il semblerait que 2018 ait constitué un tournant. Les cyber menaces ciblant les objets connectés vulnérables ne peuvent désormais plus être ignorées.
De nouveaux appareils mais les mêmes erreurs
Au cours du premier semestre de 2018, Interpol et le FBI ont tous deux mise en garde les consommateurs : les objets connectés, qu’il s’agisse de routeurs, de caméras ou d’enregistreurs numériques, doivent être sécurisés de la même manière que nos PC et appareils mobiles.
« Les cybercriminels piratent généralement des appareils présentant de faibles exigences d’authentification, des micrologiciels non-patchés ou d’autres vulnérabilités logicielles. Ils peuvent également forcer le mot de passe d’appareils dont les identifiants sont ceux restés ceux installés par défaut », a déclaré le FBI.
Depuis plus de dix ans déjà, les cyber menaces ciblant les objets connectés exploitent des mots de passe trop simples et les fabricants peinent à remédier à ce problème. La fuite du code source de ces malware, publié en ligne « à des fins de recherche », a contribué à l’apparition de menaces plus évoluées encore.
« Des mots de passe trop simples, des vulnérabilités connues, des mises à jour qui arrivent rarement ou jamais… Nous constatons ce type de problèmes depuis longtemps », a déclaré Tom Gaffney, Operator Consultant chez F-Secure. « Les mêmes erreurs sont commises depuis les années 90 mais aujourd’hui, plus personne n’a plus d’excuse. »
Les routeurs, une proie facile
Selon une étude réalisée en 2018 par l’American Consumer Institute, plus de 8 et 10 routeurs (domestiques ou professionnels) sont vulnérables au piratage informatique. L’étude en question passait en revue cinq des six grandes marques disponibles sur le marché. Un routeur peut avoir été piraté sans même que l’utilisateur le sache. Grâce à une technique appelée piratage DNS, les hackers peuvent rediriger le trafic vers un site web de phishing. L’internaute renseignera alors son numéro de crédit ou des identifiants de connexion sur une page web ressemblant trait pour trait à celle qu’il connaît.
D’après les observations F-Secure, le nombre de cyber menaces ciblant les objets connectés a doublé en 2018, passant de 19 à 38 types en l’espace d’un an. Beaucoup de ces menaces utilisent encore des techniques prévisibles et déjà bien connues : dans 87% des cas, elles ciblent des identifiants trop simples/installés par défaut ou bien des failles non-patchées, voire les deux.
Nombre de ces cyber menaces exploitent des cryptomonnaies. Beaucoup ont été conçues à partir du code source du malware Mirai. Ce dernier infecte les appareils Linux et tirent profit de leurs performances afin de créer un botnet permettant d’exécuter des attaques par déni de service (DDoS).
Connecté à un réseau, connecté à internet
En 2018, environ 59 % du trafic d’attaques détecté par les honeypots de F-Secure visaient les ports telnet exposés, une tendance que le Laboratoire F-Secure attribue à la propagation de Mirai. Jarno Niemelä, Principal Threat Researcher pour le Laboratoire F-Secure, expliquait alors : « Mirai attaque de nouveaux appareils, qui n’ont pas pour vocation à être visibles sur internet. »
Ces objets connectés non-patchés constituent des cibles faciles pour les cyber criminels. Par ailleurs, l’attaque ne sera pas nécessairement évidente aux yeux de la victime : alors qu’un ransomware bloque toute utilisation jusqu’au paiement d’une rançon, ce type de menaces aspire les ressources du système et perturbe la connexion internet.
Des géants comme Amazon ont efficacement renforcé la sécurisation de leurs objets connectés avec l’aide spécialistes comme notre hacker éthique Mark Barnes, qui a réalisé la démonstration du premier piratage d’une enceinte Echo, en 2017. Mais d’innombrables appareils vulnérables sont encore vendus et utilisés. Par ailleurs, les PC et appareils mobiles, dont l’utilisation dépasse celle ces objets intelligents, restent, eux aussi, souvent non-sécurisés.
Sécurisez tout, aussi bien à l’intérieur qu’à l’extérieur de votre foyer
Les « foyer intelligents », composés d’objets connectés, deviennent de véritables écosystèmes : la vulnérabilité d’un appareil peut menacer tous les autres.
Malgré leur enthousiasme, les utilisateurs continuent d’exprimer des inquiétudes quant à la protection de leur vie privée. Les recherches montrent que, plus les consommateurs connaissent les objets connectés, plus ils ont tendance à s’inquiéter.
« Au sein d’un foyer connecté, un téléviseur intelligent peut se connecter à une imprimante sans fil. Une console de jeu peut commencer à communiquer avec une ampoule intelligente », explique Timo Laaksonen, Head of Operator Business, Americas chez F-Secure. « Rien ne justifie pourtant de telles interactions. »
L’idée d’un appareil piraté, espionnant des conversations privées dans une cuisine ou une chambre à coucher, nourrit des inquiétudes légitimes auprès des consommateurs. Il ne faut cependant pas oublier que, de ce point de vue, les smartphones présentent les mêmes dangers qu’une enceinte Echo. Même un système de sécurité « intelligent » peut vous écouter avec un microphone dont vous ignoriez l’existence.
Il est indispensable de sécuriser l’ensemble des appareils connectés reliés à votre foyer, où qu’ils soient : en intérieur ou en extérieur.
Télécharger le RapportCatégories