Pirater un objet connecté, un jeu d’enfant ? (partie 2)

Nous avons vu dans la première partie de ce dossier consacré à l’Internet des Objets (IoT) dans quelle mesure les appareils connectés étaient un potentiel d’intrusion important. Mais qui aurait intérêt à pirater mon réfrigérateur ?

Relire : Comment un réfrigérateur peut vous priver d’Internet ? (partie 1)

Contents

Les cyber-criminels à l’affût de failles de sécurité

Les cyber-criminels élaborent leurs pièges là où il y a le plus de chance de toucher un nombre important de victimes. En clair, dès qu’un produit ou service devient populaire, il faut s’attendre à des soucis de sécurité. On ne compte plus le nombre de malwares sur Windows (l’OS le plus populaire), le nombre d’attaques contre les sites sous Wordpress (le CMS le plus populaire) ou encore le nombre d’e-mails de phishing aux couleurs de grands services téléphoniques ou bancaires.

L’IoT ne fera pas exception à la règle. D’ailleurs, des chercheurs ont déjà démontré des failles de sécurité dans des objets connectés, comme un pacemaker par exemple. L’été dernier, HP avait également démontré que 6 objets connectés sur 10 comportaient des failles de sécurité.

Pirater un objet connecté, un jeu d’enfant ?

La plupart des objets exécutent des distributions Linux personnalisées. La seule façon de les compromettre est donc de leur envoyer au hasard des commandes Ping sur Internet (permettant de tester l’accessibilité d’une autre machine à travers un réseau IP), de tenter de réaliser des attaques par force brute afin de récupérer leurs identifiants SSH (Secure Shell – protocole de communication sécurisé) souvent définis avec des logs du type admin/admin ou admin/root, puis d’uploader un virus personnalisé, créé pour les architectures MIPS ou ARM.

C’est de cette façon que des chercheurs anonymes, auteurs du dernier recensement d’Internet, ont réussi à créer un réseau de machines zombies baptisé Carna Botnet, alors qu’ils cartographiaient l’Internet en 2012.

Pirater un objet connecté semble simple, mais les cyber-criminels n’ont pas la main mise sur toutes les technologies. Les appareils mobiles, qui se connectent via la 3G, sont plus difficiles à « contacter » car leur connexion passe par le proxy de l’opérateur téléphonique – ils n’ont pas une adresse IP propre par connexion mais partagent la même adresse IP avec plusieurs autres appareils 3G.

Comment un réfrigérateur peut-il vous priver d’Internet ?

Peu importe la façon dont la compromission se fait, l’IoT offre un potentiel d’intrusions extrêmement important.

Par défaut, tous les appareils connectés à Internet savent convertir les noms de domaine en adresses IP. Cette fonction est appelée la résolution DNS et s’effectue en interrogeant les serveurs DNS, à commencer par celui du routeur, puis ceux mis en place par le FAI et enfin le serveur DNS faisant autorité pour les domaines de premier niveau (TLD – Top-Level Domain).

Étant donné que le système DNS a besoin d’être très rapide afin de minimiser les délais, les requêtes sont envoyées via UDP (User Datagram Protocol), un protocole qui ne valide pas l’identité du serveur.

Un pirate peut, par exemple, utiliser votre réfrigérateur pour faire une requête DNS étendue et faire croire qu’il s’agit d’un tiers (ex : le serveur de l’entreprise) qui a demandé l’information. La quantité de données DNS – multipliée par un facteur variable – est alors envoyée à la victime : plus il y a de fausses requêtes au nom de la victime et plus l’impact de l’attaque est grand.

Vous l’aurez compris, en fonction de leur configuration matérielle et de la connexion Internet, ces objets peuvent être utilisés de façon malveillante pour différentes tâches (de la récupération de données à l’envoi de spams), mais leur potentiel est surtout considérable dans le cadre d’attaques par déni de service (DDoS).

Où allons-nous ?

L’Internet des Objets connaît une croissance fulgurante puisque les appareils électroniques grand public intelligents se sont désormais immiscés de façon durable dans les foyers. Selon une étude de Cisco, l’IoT atteindra les 50 milliards d’appareils dans moins de 6 ans.

Mais la pénétration de l’IoT ne se limite pas aux chiffres, ces derniers commencent aussi à contrôler de plus en plus d’aspects de notre vie quotidienne comme l’éclairage ambiant, la température ou la sécurité physique des personnes.

Et même si nous espérons que ces « objets » ne deviennent pas une source de danger ou de perturbation pour leurs propriétaires, il y a de fortes chances pour que quelqu’un, quelque part, les utilise un jour à des fins malveillantes.

Selon Gartner, environ un milliard d’objets sont connectés à Internet à ce jour, et la moitié d’entre eux est capable d’exécuter au minimum une requête DNS. Cela est plus que suffisant pour intéresser les cybercriminels.

Cet article a été écrit par David Sygula à partir des informations fournies par Bogdan BOTEZATU, analyste senior des e-menaces chez Bitdefender.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut