Peut on faire confiance aux objets connectés

En 2009, alors que les consommateurs commençaient à acheter des thermostats, des caméras de porte d’entrée Wi-Fi et d’autres appareils anciens qui composent désormais l ‘«Internet des objets», l’informaticien Ang Cui avait eu l’idée de scanner le Web à la recherche de «trivialement vulnérables». « appareils embarqués.

Par trivial, il entendait ces appareils qui contenaient encore les noms d’utilisateur et les codes d’accès programmés en usine – des noms d’utilisateur évidents comme « nom » et des codes d’accès comme « 1234 ». Beaucoup de ces codes ont été publiés dans des manuels disponibles gratuitement sur Internet et facilement scannés automatiquement avec des programmes informatiques, il n’y avait donc même pas besoin de deviner.

Lorsqu’il a fait son scan, Cui a trouvé plus d’un million d’appareils vulnérables et accessibles au public dans 144 pays. À partir de cet échantillon, il a estimé qu’environ 13% de tous les appareils connectés à Internet étaient essentiellement des portes déverrouillées, attendant qu’un pirate passe à travers. Encore plus alarmant, quatre mois plus tard, 96% de ces appareils présentaient les mêmes failles de sécurité.

L’avertissement de Cui n’était pas moins terrifiant pour sa livraison impasse: « Les périphériques réseau intégrés largement déployés et souvent mal configurés constituent des cibles d’exploitation très attractives. »

Au cours de la décennie qui a suivi, le nombre d’appareils vulnérables connectés à Internet a été multiplié par sept. L’explosion vient d’une demande croissante, alimentée par le battage médiatique, pour les appareils intelligents. Les fabricants trébuchent maintenant sur eux-mêmes pour intégrer à peu près tous les objets ordinaires, semble-t-il, avec de minuscules ordinateurs qui communiquent sans fil avec le monde qui les entoure. Dans cette révolution «intelligente», pratiquement tous les appareils dotés d’un interrupteur marche / arrêt ou d’un bouton haut / bas peuvent être contrôlés à distance avec un téléphone portable ou un capteur vocal. Voulez-vous augmenter le chauffage, tamiser les lumières et faire fonctionner le sèche-linge sans vous lever du canapé – simplement en exprimant votre désir d’un Amazon Echo? Voulez-vous que votre grille-pain envoie un message à la télévision lorsque le bagel a sauté? Voulez-vous que votre four vous informe que la cocotte a cuit pour le prescrit 20 minutes à 350 degrés et refroidit maintenant dans la cuisine à 200? L’Internet des objets peut rendre toutes ces choses possibles.

POUVEZ-VOUS FAIRE CONFIANCE À VOTRE TOASTER Illustration de Britt Spencer pour Newsweek; Grille-pain par ballyscanlon / Getty; Toast par Jeffrey Coolidge / Getty
Il y a un côté sombre à cette révolution sans fil en matière de commodité. Le danger va au-delà du piratage. Contrairement à l ‘«Internet des ordinateurs» traditionnel, qui est confiné à un monde numérique «virtuel» circonscrit, l’Internet des objets a une connexion directe avec le monde physique. Cela soulève une série de questions inquiétantes: que se passerait-il si les ordinateurs à l’intérieur de nos nouveaux fours grille-pain, caméras de sécurité ou villes intelligentes étaient retournés contre nous? Pouvons-nous vraiment faire confiance à l’Internet des objets? La plupart des experts en cybersécurité sont sans équivoque dans leur réponse à cette dernière question. «Non», déclare Ben Levine, directeur principal, gestion des produits, cryptographie chez Rambus, une société de technologie basée à Sunnyvale, spécialisée dans le performance et protection des données. « Ma réponse courte, pour le moment, est » non « . »

Contrairement à «l’Internet des ordinateurs», qui a été créé en grande partie par des techniciens ayant une formation en technologie de l’information ou en informatique, de nombreux fabricants qui fabriquent ces appareils manquent maintenant de l’expertise nécessaire pour construire des systèmes étanches à l’air. Certains ne réalisent pas l’importance de le faire. En conséquence, les possibilités de méfait semblent infinies – un fait que Cui et d’autres fervents de la cybersécurité ont démontré à plusieurs reprises.

Votre vibromasseur vous trompe-t-il?
Certains des exploits les plus créatifs de ces derniers mois proviennent du laboratoire d’Alvaro Cardenas, qui a mis au défi ses étudiants de l’Université du Texas à Dallas l’année dernière de déchiffrer un large éventail d’appareils IoT. Entre autres, ils ont réussi à allumer et à détourner un drone et à démontrer qu’ils pouvaient l’utiliser pour attaquer une victime innocente, à la Kamikaze, ou pour diffuser la vidéo et l’audio d’un voisin. Ils ont piraté un jouet pour enfants populaire – un petit, parler de dinosaure en réseau sur Internet afin qu’il puisse recevoir des mises à jour. Ensuite, ils ont démontré qu’ils pouvaient prendre en charge le jouet et l’utiliser pour insulter l’enfant, susciter des conversations inappropriées (en utilisant la voix de confiance du jouet) ou dire à l’enfant quoi faire. Ils ont montré qu’ils pouvaient prendre le contrôle des caméras connectées à Internet pour espionner les ménages. Ils ont même identifié l’existence de «dispositifs sensibles» – des vibrateurs – parfois utilisés par les militaires étrangers pour avoir des relations virtuelles à distance avec leurs partenaires. Non seulement ils ont pu obtenir des informations d’utilisation privées, mais ils ont averti qu’il était possible d’usurper l’identité d’un «partenaire de confiance» et de «commettre une agression sexuelle à distance».

Cardenas a fait part de ses conclusions aux fabricants d’appareils et au Centre de coordination du CERT, un groupe de recherche et développement à but non lucratif financé par le gouvernement fédéral qui travaille avec les entreprises et le gouvernement pour améliorer la sécurité d’Internet. Puis il a soumis un article à l’IEEE, une association professionnelle pour l’ingénierie électronique et électrique ingénierie, qui a publié ses conclusions dans un numéro spécial cet automne.

«Ces attaques montrent à quel point les technologies IoT remettent en question nos hypothèses culturelles sur la sécurité et la confidentialité et inciteront, espérons-le, à mettre davantage l’accent sur les pratiques de sécurité et de confidentialité des développeurs et concepteurs IoT», ont-ils écrit. (Après la publication de l’article, tous les fabricants ont répondu et ont tenté de corriger les vulnérabilités, à l’exception des sociétés de drones).

Multiplicateur de force

Armée de zombies L’attaque Mirai de 2016 a montré à quel point l’Internet des objets peut être vulnérable au piratage. Cela a commencé comme une attaque de déni de service distribué sur des serveurs de petite taille utilisés pour jouer au jeu vidéo Minecraft.Georg Wendt / picture alliance / Getty
À la fin de 2018, plus de 23 milliards d’appareils IoT avaient été installés dans le monde. De nombreux consommateurs qui achètent ces appareils intelligents ne prennent actuellement pas la peine de les connecter à leur WiFi, ce qui signifie qu’ils sont essentiellement hors ligne et hors de portée des pirates. Mais cela peut changer à mesure que les fabricants continuent de vanter les avantages de la connectivité. Et le nombre d’appareils devrait plus que tripler, pour atteindre 75 milliards d’ici 2025.

Le grand nombre d’appareils vulnérables donne aux pirates un puissant effet de levier. L’attaque Mirai de 2016, qui a peut-être été inspirée par l’article original de Cui, illustre à quel point la menace est devenue dangereuse. Paras Jha, un décrocheur calme et socialement maladroit du New Jersey, dirigeait une entreprise lucrative de location d’espace sur son propre serveur informatique privé à d’autres aficionados du jeu vidéo Minecraft, afin qu’ils puissent jouer en privé avec leurs amis. Cela semble agréable, mais l’entreprise est féroce. Une tactique courante de Jha et de ses rivaux était de pirater les ordinateurs personnels de personnes sans méfiance, de les détourner avec des logiciels malveillants et de leur demander d’envoyer des torrents de messages et de données indésirables aux machines de leurs rivaux, les submergeant et, espérons-le, les éteignant. en tant qu’attaque par déni de service distribué (DDoS). Des clients sans méfiance, frustrés par le service «peu fiable», étaient alors des cibles faciles pour le braconnage.

En 2016, Jha et deux amis de Minecraft qu’il avait rencontrés en ligne ont décidé de faire mieux à ses rivaux. Ils ont piraté non seulement les ordinateurs de bureau, mais également la myriade de caméras de sécurité, de routeurs sans fil, d’enregistreurs vidéo numériques, d’appareils électroménagers et d’autres appareils IoT. Comme Cui avant lui, Jha et ses amis ont écrit un programme qui a scanné Internet pour localiser les appareils vulnérables. Mais contrairement à Cui, ils ont en fait installé des logiciels malveillants sur la machine et en ont pris le contrôle. Tirée de la prolifération des appareils intelligents, l’armée de robots zombies de Jha a grandi plus vite qu’il n’aurait pu l’imaginer – à la fin de la première journée, il s’était approprié 65 000 appareils; selon certaines estimations, son armée de zombies atteignait 600 000.

L’attaque, surnommée « Mirai » (« le futur ») d’après une série télévisée japonaise, était si puissante que Jha ne se contenta pas d’abattre ses petits rivaux Minecraft. Il a également formé la nouvelle arme sur l’énorme opérateur télécom français OVH, qui hébergeait un outil populaire sur lequel ses rivaux s’appuyaient pour se défendre contre ses attaques. Finalement, les flics ont remarqué. Jha a été condamné à une amende de 8,6 millions de dollars et à 2 500 heures de travaux d’intérêt général pour le FBI.

Cui, aujourd’hui fondateur et PDG de Red Balloon Security, âgé de 36 ans, donne souvent des conférences lors de conférences de hackers portant un tee-shirt, un collier de perles et un chignon pour homme et gagne bien sa vie en conseillant aux entreprises comment se protéger dans un cyber-monde hostile. Il continue de s’émerveiller du peu de choses qui ont été faites pour corriger non seulement la vulnérabilité identifiée par son article, mais aussi de nombreuses autres qui, selon lui, pourraient sans doute causer encore plus de dégâts. Alors que les entreprises de sécurité au service de grandes entreprises bien financées comme celles ciblées par les attaques Mirai ont mis au point de nouvelles façons de défendre les serveurs clients contre les attaques DDoS, de nombreux fabricants d’appareils IoT font peu ou pas du tout pour protéger le reste d’entre nous contre les cyber-méfaits. – pas seulement la conscription d’appareils zombies, mais aussi l’espionnage, le sabotage et les exploits qui, selon les experts en sécurité, devraient soulever de profondes préoccupations en matière de confidentialité et de sécurité.

Selon Cui, ce qui explique cette négligence, c’est une mentalité de ruée vers l’or pour conquérir des parts de marché dans le secteur en plein essor des appareils IoT. Au cours des cinq dernières années, le battage médiatique autour de l’IoT est devenu si chaud que de nombreuses startups financées par le capital-risque dans le domaine des appareils grand public – et même certains grands fabricants – ajoutent la connectivité Internet, précipitent leurs produits sur le marché et résolvent de résoudre toute sécurité. défauts plus tard. Certains n’ont même pas du tout pensé à la sécurité. «Il faut consacrer du temps et des ressources pour se soucier de la sécurité», dit Cui. « Mais il y a beaucoup d’argent VC, et ils veulent déployer très rapidement une chose qui a une fonctionnalité IoT qu’ils pensent que le marché pourrait aimer. »

L’argent est principalement dépensé pour développer de nouveaux appareils. « Le problème pour le moment est qu’il n’y a vraiment aucune incitation à la sécurité », a déclaré Cardenas à Newsweek. « La sécurité est généralement le frein de ces produits. » Les plus les consommateurs ne sont pas conscients des dangers et n’exigent pas de protection. Et les fabricants d’appareils n’ont aucune obligation de le fournir.

Dans un laboratoire du Georgia Institute of Technology, Manos Antonakakis, professeur agrégé à l’école de génie électrique et informatique, et le chercheur Omar Alrawi, ont également sondé les failles de sécurité béantes de l’IdO émergent. Antonakakis note que s’il existe une classe de fournisseurs bien connus qui «tentent au moins de garantir la sécurité dans certains cas», même les grands fabricants sont sous pression pour lancer de nouveaux produits IoT sur le marché actuel. «Il faut beaucoup d’assurance qualité et de tests, ainsi que des analyses de pénétration et de vulnérabilité pour bien faire les choses», dit-il. Mais la ruée vers le marché « entraîne de violents désaccords avec des pratiques de sécurité éprouvées ».

De nombreuses entreprises technologiques parmi les plus importantes ont investi massivement pour accéder au marché des appareils de «maison intelligente», l’un des domaines à la croissance la plus rapide de l’IoT. dispositifs. Amazon fait partie de ceux qui dominent le marché des hubs intelligents, avec Google, qui a acheté le fabricant de thermostat numérique Nest en 2014 pour 3,2 milliards de dollars. Depuis, Google l’a étendu pour devenir un hub numérique qui comprend également des détecteurs de fumée et des systèmes de sécurité tels que des sonnettes et des serrures intelligentes. Samsung possède le hub SmartThings, qu’il a acquis en 2014 pour 200 millions de dollars, et se connecte désormais à des climatiseurs, des laveuses et des téléviseurs. Apple a un kit maison qui peut contrôler n’importe quel nombre d’appareils via des commandes vocales livrées à portée de son HomePod.