Nous sommes entourés de milliards d'appareils connectés à Internet. Pouvons-nous leur faire confiance? – Monter un serveur MineCraft
En 2009, au moment où les consommateurs commençaient à acheter des thermostats, des caméras pour porte d'entrée et d'autres appareils anciens compatibles avec le Wi-Fi, qui constituent désormais "l'Internet des objets", l'informaticien Ang Cui avait eu l'idée de scanner le Web pour déterminer sa "vulnérabilité triviale". "appareils embarqués.
Par trivial, il entendait les appareils qui portaient toujours les noms d'utilisateur et les codes d'authentification programmés à l'usine – des noms d'utilisateur évidents tels que "nom" et des codes tels que "1234". Bon nombre de ces codes ont été publiés dans des manuels disponibles gratuitement sur Internet et facilement numérisés automatiquement à l'aide de programmes informatiques. Il était donc inutile de les deviner.
Lors de son analyse, Cui a découvert plus d'un million d'appareils vulnérables accessibles au public dans 144 pays. D'après cet échantillon, il a estimé qu'environ 13% de tous les appareils connectés à Internet étaient essentiellement des portes non verrouillées, dans l'attente d'un pirate informatique. Encore plus alarmant, quatre mois plus tard, 96% de ces appareils présentaient les mêmes failles de sécurité.
L'avertissement de Cui n'était pas moins terrifiant pour sa livraison sans issue: "Largement déployés et souvent mal configurés, les périphériques réseau intégrés constituent des cibles extrêmement attractives pour l'exploitation."
Au cours des dix dernières années, le nombre d'appareils vulnérables connectés à Internet a été multiplié par sept. L'explosion provient de la demande croissante, alimentée par le battage médiatique, des appareils intelligents. Les fabricants s’efforcent maintenant d’intégrer à peu près tous les objets ordinaires, semble-t-il, avec de minuscules ordinateurs qui communiquent joyeusement sans fil avec le monde qui les entoure. Dans cette révolution "intelligente", pratiquement tout appareil doté d'un commutateur marche / arrêt ou d'un bouton haut / bas peut être contrôlé à distance avec un téléphone portable ou un capteur vocal. Voulez-vous augmenter le chauffage, baisser la lumière et faire fonctionner la sécheuse sans vous lever du canapé, simplement en exprimant votre désir devant un Amazon Echo? Voulez-vous que votre grille-pain envoie un message à la télévision lorsque le bagel est sorti? Voulez-vous que votre four vous informe que la casserole a cuit pendant les 20 minutes prescrites à 350 degrés et qu’elle est maintenant en train de refroidir dans la cuisine à 200? L'Internet des objets peut rendre toutes ces choses possibles.
Le côté pratique de cette révolution basée sur le sans fil est sombre. Le danger dépasse le piratage. Contrairement à l’Internet des ordinateurs traditionnel, qui se limite à un monde «virtuel» numérique circonscrit, l’Internet des objets est directement connecté au monde physique. Cela soulève un ensemble de questions inquiétantes: que pourrait-il se passer si les ordinateurs de nos nouveaux fours à grille-pain, caméras de sécurité ou villes intelligentes étaient retournés contre nous? Pouvons-nous vraiment faire confiance à l'Internet des objets? La plupart des experts en cybersécurité répondent sans équivoque à cette dernière question. "Non", a déclaré Ben Levine, directeur principal, gestion des produits, cryptographie chez Rambus, une entreprise technologique basée à Sunnyvale, spécialisée dans la performance et la protection des données. "Ma réponse courte, pour le moment, est 'non'."
Contrairement à "l'Internet des ordinateurs", qui a été créé en grande partie par des techniciens ayant une formation en informatique ou en informatique, de nombreux fabricants qui fabriquent ces dispositifs ne disposent plus de l'expertise nécessaire pour construire des systèmes étanches. Certains ne réalisent pas l'importance de le faire. En conséquence, les possibilités de méfaits semblent infinies – un fait que Cui et d’autres férus de cybersécurité ont démontré à plusieurs reprises.
Sommaire
Est-ce que votre vibrateur vous trompe?
Certains des plus créatifs de ces exploits de ces derniers mois proviennent du laboratoire d’Alvaro Cardenas, qui a lancé un défi à ses étudiants de l’Université du Texas à Dallas l’an dernier pour casser un large éventail de dispositifs IoT. Entre autres choses, ils ont réussi à allumer et à détourner un drone et à démontrer qu'ils pouvaient l'utiliser pour attaquer une victime innocente, de style kamikaze, ou pour diffuser de la vidéo et de l'audio d'un voisin. Ils ont piraté un jouet populaire pour enfants – un petit dinosaure parlant en réseau sur Internet afin qu'il puisse recevoir des mises à jour. Ensuite, ils ont démontré qu'ils pouvaient prendre le jouet et l'utiliser pour insulter l'enfant, engager des conversations inappropriées (en utilisant la voix de confiance du jouet) ou dire à l'enfant quoi faire. Ils ont montré qu'ils pouvaient prendre le contrôle de caméras connectées à Internet pour espionner les ménages. Ils ont même identifié l'existence de "dispositifs sensibles", des vibrateurs, parfois utilisés par des militaires étrangers pour établir des relations virtuelles à distance avec leurs partenaires. Non seulement ils ont pu obtenir des informations sur l'utilisation privée, mais ils ont également averti qu'il était possible d'usurper l'identité d'un "partenaire de confiance" et de "commettre une agression sexuelle à distance".
Cardenas a communiqué ses conclusions aux fabricants d’appareils et au Centre de coordination CERT, un groupe de recherche et développement à but non lucratif financé par le gouvernement fédéral, qui collabore avec les entreprises et les pouvoirs publics pour améliorer la sécurité sur Internet. Il a ensuite soumis un document à l'IEEE, une association professionnelle d'ingénierie électronique et électrique, qui a publié ses conclusions dans un numéro spécial cet automne.
"Ces attaques montrent à quel point les technologies IoT remettent en question nos hypothèses culturelles en matière de sécurité et de confidentialité et devraient, espérons-le, motiver davantage les pratiques de sécurité et de confidentialité des développeurs et des concepteurs IoT", ont-ils écrit. (Après la publication du document, tous les fabricants ont réagi et tenté de corriger les vulnérabilités, à l'exception des sociétés de drones).
Multiplicateur de force
À la fin de 2018, plus de 23 milliards d'appareils IoT avaient été installés dans le monde. À l'heure actuelle, de nombreux consommateurs qui achètent ces appareils intelligents ne se donnent pas la peine de les connecter à leur réseau WiFi, ce qui signifie qu'ils sont essentiellement hors ligne et hors de portée des pirates. Mais cela pourrait changer car les fabricants continuent de vanter les avantages de la connectivité. Et le nombre d'appareils devrait tripler, pour atteindre 75 milliards d'ici 2025.
Le grand nombre d'appareils vulnérables donne aux pirates informatiques un puissant levier. L'attaque Mirai de 2016, qui a peut-être été inspirée par le document original de Cui, illustre à quel point la menace est devenue dangereuse. Paras Jha, un jeune homme décroché du New Jersey dans le calme et socialement maladroit, a exploité une entreprise lucrative, louant de l'espace sur son propre serveur privé à des passionnés du jeu vidéo Minecraft, afin qu'ils puissent jouer en privé avec leurs amis. Cela semble agréable, mais le travail est acharné. Une tactique courante de Jha et de ses rivaux consistait à pirater les ordinateurs personnels de personnes sans méfiance, à les détourner avec des logiciels malveillants et à leur demander d'envoyer des torrents de messages et de données non désirés aux machines de leurs rivaux, de les submerger et, espérons-le, de les bloquer – connu en tant qu'attaque par déni de service distribué (DDoS). Les clients peu méfiants, frustrés par le service "peu fiable", étaient alors des cibles faciles pour le braconnage.
En 2016, Jha et deux amis de Minecraft qu'il avait rencontrés en ligne ont décidé de faire encore mieux que ses rivaux. Ils ont piraté non seulement les ordinateurs de bureau, mais également la myriade de caméras de sécurité, routeurs sans fil, enregistreurs vidéo numériques, appareils ménagers et autres appareils IoT. Comme Cui avant lui, Jha et ses amis ont écrit un programme qui analysait Internet pour localiser les périphériques vulnérables. Mais contrairement à Cui, ils ont en fait installé des logiciels malveillants sur la machine et en ont pris le contrôle. Profitant de la prolifération de dispositifs intelligents, l'armée de zombies de Jha a grandi plus rapidement qu'il n'aurait pu l'imaginer: à la fin de la première journée, il s'était approprié 65 000 dispositifs; selon certaines estimations, son armée de zombies aurait atteint 600 000 personnes.
L’attaque, surnommée "Mirai" ("le futur") d’après une série télévisée japonaise, était si puissante que Jha ne se contentait pas de vaincre ses rivaux Minecraft. Il a également formé la nouvelle arme au grand fournisseur de télécommunications français OVH, qui hébergeait un outil populaire sur lequel ses rivaux comptaient pour se défendre contre ses attaques. Finalement, les flics ont remarqué. Jha a été condamné à une amende de 8,6 millions de dollars et à 2 500 heures de travaux communautaires pour le compte du FBI.
Cui, aujourd'hui fondateur et PDG de Red Balloon Security, âgé de 36 ans, donne souvent des conférences lors de conférences sur les hackers, portant un t-shirt, un collier de perles et un petit bonhomme. Il gagne bien sa vie en conseillant aux entreprises de se protéger cyber-monde hostile. Il continue de s’émerveiller du peu de choses qu’il a été fait pour corriger non seulement la vulnérabilité identifiée par son document, mais également de nombreuses autres qui, selon lui, pourraient causer encore plus de dégâts. Alors que les entreprises de sécurité qui desservent de grandes entreprises bien financées, telles que celles visées par les attaques de Mirai, ont mis au point de nouvelles méthodes de défense des serveurs clients contre les attaques DDoS, de nombreux fabricants d’appareils IoT ne font pratiquement rien pour nous protéger du cyber-méfait. Non seulement la conscription d'appareils zombies, mais aussi l'espionnage, le sabotage et les exploits qui, selon les experts en sécurité, devraient soulever de graves problèmes de confidentialité et de sécurité.
Cui estime que la négligence, c’est la mentalité de ruée vers l’or qui consiste à conquérir des parts de marché dans le secteur en plein essor des dispositifs IoT. Au cours des cinq dernières années, le battage publicitaire autour de l'IdO est devenu si brûlant que de nombreuses startups financées par VC dans le domaine des appareils grand public – et même de grands fabricants – ajoutent une connectivité Internet, lancent leurs produits sur le marché et décident de résoudre les problèmes de sécurité. défauts plus tard. Certains n'ont même pas pensé à la sécurité. "Vous devez consacrer le temps et les ressources nécessaires à la sécurité", a déclaré Cui. "Mais il y a beaucoup d'argent de capital-risque, et ils veulent très rapidement déployer un produit doté d'une fonctionnalité IoT qui, selon eux, pourrait plaire au marché."
L'argent est principalement dépensé pour développer de nouveaux appareils. "Le problème pour le moment, c'est qu'il n'y a vraiment aucune incitation à la sécurité", a déclaré Cardenas à Newsweek. "La sécurité est généralement mise en veilleuse de ces produits." La plupart des consommateurs ne sont pas conscients des dangers et n'exigent pas de protection. Et les fabricants d’appareils n’ont aucune obligation de le fournir.
Dans un laboratoire du Georgia Institute of Technology, Manos Antonakakis, professeur associé à l’école de génie électrique et informatique, et le chercheur Omar Alrawi ont également enquêté sur les failles de sécurité béantes du nouvel IdO. Antonakakis a noté que, même s'il existe une classe de fournisseurs renommés qui "essaient au moins d'obtenir la sécurité dans certains cas", même les grands fabricants sont poussés à lancer de nouveaux produits IoT sur le marché actuel. "Il faut beaucoup d'assurance qualité et de tests, d'analyse de pénétration et de vulnérabilité pour réussir", a-t-il déclaré. Mais la précipitation sur le marché "entre de violents désaccords avec des pratiques de sécurité éprouvées".
Nombre des plus grandes entreprises de technologie ont fortement investi dans le marché des dispositifs de «maison intelligente», l’un des domaines à la croissance la plus rapide pour les dispositifs IoT. Amazon fait partie de ceux qui dominent le marché des hubs intelligents, avec Google, qui a acheté le fabricant de thermostats numériques Nest en 2014 pour 3,2 milliards de dollars. Depuis, Google l'a développé pour devenir un hub numérique qui inclut également des détecteurs de fumée et des systèmes de sécurité tels que des sonnettes et des serrures intelligentes. Samsung possède le hub SmartThings, acquis en 2014 pour 200 millions de dollars, et qui est désormais connecté aux climatiseurs, aux lave-linge et aux téléviseurs. Apple propose un kit pour la maison permettant de contrôler un nombre illimité d’appareils au moyen de commandes vocales livrées à la portée de son HomePod.
Vulnérabilités
Une fois ces systèmes installés, les appareils d’un nombre croissant d’entreprises peuvent être ajoutés au réseau domestique, y compris ceux fabriqués par des fabricants d’appareils ménagers bien connus tels que GE, Bosch et Honeywell. Belkin propose une gamme d’appareils connectés comprenant une mijoteuse intelligente Crock-Pot WeMo, une cafetière intelligente Mr. Coffee et un humidificateur domestique intelligent. Il y a beaucoup d'argent à gagner. Tout compte fait d'ici fin 2019, plus de 490 milliards de dollars de profits auront été réalisés sur les près de 2 milliards d'appareils grand public vendus au cours des 12 derniers mois, selon le cabinet de conseil en gestion immobilière iProperty Management.
Afin d’attirer l’attention sur les dangers (et les éléments sur lesquels les consommateurs devraient poser des questions lors de l’achat de nouveaux produits IoT), Antonakakis et Alrawi, en collaboration avec des chercheurs de l’Université de Caroline du Nord à Chapel Hill, ont mis au point un système de notation et ont commencé à évaluer la sécurité d'un large éventail de périphériques IoT. Et étonnamment, ils ont découvert des vulnérabilités béantes dans les dispositifs et les systèmes produits par certaines des sociétés les plus férues de technologie.
La vulnérabilité des appareils IoT va bien au-delà des failles dans la protection par mot de passe, la vulnérabilité exposée par l'attaque Mirai, affirment-ils. Les appareils IoT peuvent également être accédés et pris en charge directement via le réseau domestique auquel ils sont connectés, et ce réseau domestique est aussi puissant que son lien le plus faible. Cela signifie que même si chaque appareil est fourni avec un mot de passe et un nom d'utilisateur uniques, ceux-ci ne sont pas nécessairement sécurisés. Une fois que les pirates trouvent un moyen d'accéder au réseau domestique via un périphérique vulnérable, le chemin est souvent largement ouvert au reste du réseau.
Pour sécuriser un appareil IoT, les fabricants doivent corriger les vulnérabilités dans quatre domaines différents: accès direct à l'appareil lui-même, application mobile utilisée pour l'exécuter, mode de communication avec son réseau domestique et, dans de nombreux cas, le cloud. serveur basé sur lequel les fabricants utilisent pour diffuser des mises à jour, collecter des données utilisateur ou fournir de nouveaux services.
Obtenir tout cela n'est pas facile. Selon Alrawi, pour qu'un fournisseur puisse sécuriser les quatre parties, il lui faut une bonne équipe de développement d'applications mobiles "qui connaît le développement sécurisé", une "équipe système qui effectue un très bon développement de systèmes embarqués et sécurisés", ainsi que des experts du cloud capables de cloud sécurisé "backend" qui permet de gérer le périphérique sans l'exposer à un risque supplémentaire. Enfin, les fabricants d’appareils ont besoin de connaissances en matière de réseau pour créer des protocoles Internet efficaces et sécurisés, ainsi que des protocoles à éviter.
"Ils doivent équilibrer tout cela avec la facilité d'utilisation", a-t-il déclaré. "Vous voyez donc que cela devient déjà très difficile à gérer mentalement. Quand une équipe de startups qui propose cette idée géniale veut faire passer un produit sur le marché, Nous sommes généralement une petite équipe qui n’a pas toute cette expertise. Mais même avec les gros fournisseurs, certains de ces problèmes sont vraiment difficiles à cerner et à gérer. "
En effet, si Antonakakis, Alrawi et leur équipe accordent une note relativement élevée à la sécurité des produits grand public tels que Amazon Echo et Belkin Netcam, ils leur ont attribué des valeurs de C, D et F pour la sécurité du réseau, ce qui donne une idée de la protection de ces dispositifs. d’intrus qui parviennent à accéder au réseau domestique sans fil par le biais d’autres périphériques vulnérables. Et tandis qu'un certain nombre d'appareils associés aux produits Google Smart Home de Google (tels que les thermostats, les détecteurs de fumée, les serrures intelligentes et les sonnettes de porte) reçoivent As et Bs pour la sécurité des appareils et du réseau, ils ont obtenu des Cs et des D pour la protection des mobiles et du cloud, ce qui signifie un pirate informatique débrouillard ayant l’intention de déverrouiller la porte, pourrait toujours accéder à une maison.
La catégorie nuage est la plus inquiétante. Étant donné que bon nombre de ces services sont basés sur le cloud et connectés aux serveurs centraux de la société, si un pirate informatique déterminé et bien financé, comme la Chine, la Corée du Nord ou la Russie, devait utiliser le même type d'exploits sophistiqués que ceux utilisés pour contourner la sécurité sur Internet. Internet traditionnel des ordinateurs, rien ne dit ce qu’ils pourraient faire.
"Vous parlez d'accéder à potentiellement des maisons de millions de personnes, et lorsque cela se produit, pensez à tous les microphones, caméras et actionneurs que vous avez chez vous, et multipliez-les par tous ceux qui les utilisent, "Cui dit.
"De nombreux consommateurs ne comprennent pas parfaitement les risques liés à l'installation de certains de ces appareils chez eux", ajoute Alrawi.
Tant qu'ils ne le feront pas, la situation ne changera probablement pas. De nombreux experts se demandent quel sera le prix à payer avant que cela se produise. "C'est un gâchis", a déclaré David Kennedy, expert en cybersécurité, qui conçoit la sécurité pour un large éventail de fabricants et a témoigné devant le Congrès sur l'IdO. "Un gâchis absolu. Nous entrons dans cette situation très aveugle, sans beaucoup de discussions sur la sécurité concernant les conséquences pour notre vie et pour notre sécurité."
Kennedy, dont le titre actuel est celui de PDG de la société TrustedSec, a piraté son lot d'appareils au fil des ans, notamment les téléviseurs intelligents, les thermostats, les réfrigérateurs intelligents, les robots ménagers et les contrôleurs connectés au réseau électrique. Mais la principale préoccupation de Kennedy pour le moment concerne la sécurité automobile.
Il y a déjà eu des récits édifiants. En 2015, Fiat Chrysler a dû émettre un rappel de sécurité concernant 1,4 million de véhicules aux États-Unis afin de corriger les vulnérabilités logicielles, après que deux chercheurs en sécurité aient piraté le système de divertissement connecté à Internet d'une Jeep Cherokee portant un journaliste, pris le contrôle de le véhicule a saccagé la radio et le secteur, puis a immobilisé la circulation au milieu d’une autoroute.
Le problème, selon Kennedy, est que la plupart des voitures contiennent une multitude de technologies différentes, dont beaucoup sont connectées directement à Internet pour leur permettre de transmettre les données nécessaires à la maintenance préventive. Cependant, la fabrication de ces différents dispositifs IoT est souvent sous-traitée à des dizaines de sous-traitants, ce qui complique logiquement la fourniture de mises à jour de sécurité et de correctifs lorsque de nouvelles vulnérabilités de sécurité sont découvertes. (Il a indiqué que Tesla constituait la principale exception à la règle, estimant que c’est «un fabricant de logiciels d’abord et un constructeur d’automobiles», et sait donc comment construire des systèmes sécurisés.)
L'idée de publier régulièrement des mises à jour de sécurité préventives pour corriger les vulnérabilités récemment découvertes dans les voitures connectées à l'Internet des objets connectés, pratique courante dans des produits tels que Microsoft Windows et l'iPhone d'Apple, est nouvelle et n'a pas encore été intégrée dans l'industrie automobile. "Je ne peux pas parler des constructeurs automobiles pour lesquels j'ai effectué un travail d'évaluation, mais je peux vous dire que j'ai travaillé pour plusieurs d'entre eux, et que les pratiques de sécurité nécessitent beaucoup de travail", a-t-il déclaré. "Ils ne poussent pas les voitures sur des correctifs, ce qui les rend extrêmement vulnérables à des attaques spécifiques – de l'espionnage dans votre voiture à la conduite hors de la route."
Le scénario cauchemardesque est une prise de contrôle d'une flotte de masse, où un mauvais acteur pirate différentes voitures à travers le monde pour causer un chaos de masse. «C’est définitivement une chose possible avec ces voitures interconnectées, cela ne fait aucun doute», déclare Kennedy. "Quelqu'un perdra la vie et finalement, il finira par tenter de réparer l'industrie dans son ensemble. Je pense que c'est ce qu'il faudra pour changer la mentalité des constructeurs automobiles."
Les législateurs de certaines juridictions commencent à se plonger dans les eaux troubles de la réglementation de l'IdO. En janvier, la Californie deviendra le premier État à mettre en œuvre une loi sur la sécurité IoT. Le projet de loi, adopté en 2018 à l’échéance de janvier 2020, obligera les entreprises qui fabriquent des appareils connectés à les «doter de fonctionnalités de sécurité raisonnables», exigeant explicitement que chaque appareil soit accompagné d’un code unique ou demande à l’utilisateur d’en générer un avant de pouvoir utiliser le code. Appareil IoT pour la première fois – dans le but de corriger la vulnérabilité exploitée avec tant de succès dans l'exploit Mirai et les attaques par copie qui ont suivi. Au-delà de cela, cependant, la loi semble avoir été écrite pour être délibérément vague, laissant ainsi la place à de futurs conseils de l'Etat.
Des experts en cybersécurité ont appelé le gouvernement fédéral américain à intervenir pour réglementer le secteur. En mars dernier, la Chambre des représentants des États-Unis a présenté un projet de loi, pour la troisième session consécutive, obligeant l'Institut national de normalisation et de technologie (NIST) du ministère du Commerce des États-Unis à élaborer des normes recommandées pour les dispositifs IoT. Bureau de la gestion et du budget (OMB): tâche de fournir aux agences des directives conformes aux exigences du NIST. La loi exigerait également que le NIST donne des conseils sur la divulgation de la vulnérabilité et fasse rapport sur les menaces à la cybersécurité par l'Internet des objets.
Il y a deux ans et demi, le NIST a lancé un programme sur le sujet. L'été dernier, le public a été invité à commenter un ensemble facultatif de fonctions de sécurité minimales "de base" qu'un appareil compatible Internet devrait offrir, qu'il soit destiné aux consommateurs, aux entreprises ou aux entreprises. agences fédérales, dit Katerina "Kat" Megas, responsable du programme NIST, Cybersecurity for Internet of Things.
Parmi eux, chaque périphérique doit être associé à un numéro ou à un identifiant unique qui apparaît sur le réseau, ce qui permettrait de localiser rapidement et de débrancher la source de tout problème pouvant survenir – une fonctionnalité que de nombreux périphériques IoT ne possèdent pas actuellement. offre. D'autres fonctionnalités permettraient de gérer l'accès à chaque périphérique via des méthodes sécurisées d'authentification de l'utilisateur; protéger les données en les cryptant; et fournissez des mises à jour sécurisées et enregistrez les cyber-événements afin que les enquêteurs puissent suivre l'évolution des problèmes.
Peu d’experts se font l’illusion que ces mesures régleront bientôt le problème. Les normes seraient volontaires. Et même si le Congrès adoptait des lois imposant des normes de sécurité, il resterait une grave vulnérabilité en matière de sécurité: les utilisateurs eux-mêmes.
"Quelle que soit la force de votre système, il est aussi puissant que votre maillon le plus faible – et le maillon le plus faible est toujours un humain", déclare Jason Glassberg, cofondateur de Casaba Security, une entreprise leader dans le domaine de la cybersécurité. "Les violations les plus importantes, les attaques les plus importantes pour la plupart, ne sont pas dues à des attaques d'une très grande technicité. C'est parce que quelqu'un a été dupe à renoncer à ses informations d'identification. Il a été dupe en cliquant sur un lien qui a installé un malware ou demandé leur mot de passe, et cela ne change certainement pas dans le monde de l'Internet des objets.
LIRE LA SUITE: 8 façons de protéger votre maison contre les pirates
Commentaires
Laisser un commentaire