L’invasion des objets connectés ne fait que commencer. Elle commence le plus souvent chez les particuliers par des produits tels que les téléviseurs, qui proposent un nombre croissant de services. Seulement voilà, le nombre croissant de ces produits cache un autre aspect : leur sécurité, parfois mal calibrée, permet la création d’un nouveau type de botnet.
La multiplication d'un nouveau type d'objets du quotidien
Le dernier CES de Las Vegas l’a montré : les objets connectés se font beaucoup plus présents dans notre quotidien. Il y a longtemps maintenant que les ordinateurs ne sont plus les seuls appareils à se connecter à internet, la multiplication des smartphones et des tablettes ayant pratiquement relégué les tours et les portables aux travaux plus sérieux. Mais une nouvelle classe d’objets envahit doucement le quotidien : des téléviseurs, des platines Blu-ray, des montres, des raquettes et d’autres produits plus surprenants.
La caractéristique de ces objets est qu’ils sont reliés à internet d’une manière ou d’une autre. La plupart du temps, il s’agit de récupérer des informations pour les présenter à l’utilisateur. Par exemple, un téléviseur qui télécharge le guide des programmes pour indiquer à l’utilisateur ce qui passe à une heure donnée. Ils sont tous basés sur un système d’exploitation plus ou moins développé et agissent donc comme de petits ordinateurs. Avec les risques qui les accompagnent, au point qu’un nouveau type de botnet s’est développé.
Un nouveau genre de zombies
C’est le résultat des travaux de la société Proofpoint : environ 100 000 de ces appareils seraient détournés de leur objectif premier et utilisés par des pirates pour constituer un botnet, autrement dit un réseau de machines zombies. Ces appareils ont donc été attaqués et leur puissance de calcul, même si elle est beaucoup plus limitée qu’un ordinateur, peut tout de même être réorientée vers des causes nettement moins nobles, notamment la production de spams. Proofpoint a d’ailleurs un terme pour désigner ces réseaux : les « thingbots »
Dans ses filets, Proofpoint indique avoir récupéré pas moins de 750 000 courriers indésirables émis par de tels appareils. Il ne s’agit visiblement que d’une partie de la masse totale envoyée car les mesures indiquent que le botnet était capable d’envoyer des vagues de 100 000 courriers, jusqu’à trois fois par jour. Or, la période d’émission serait comprise entre le 23 décembre et le 6 janvier, signe que la plus grande partie des courriers n’a pas été repérée.
Sécurité : de nets progrès à réaliser selon Proofpoint
Selon Proofpoint, il s’agit de l’une des toutes premières attaques de ce type. Et si les pirates s’intéressent tant à ce type d’appareil, c’est parce que la sécurité n’y est pas aussi élevée qu’elle le devrait. Cela tient à plusieurs facteurs, dont les deux plus importants sont aussi les plus logiques : un manque d’attention du constructeur qui laisse soit des failles de sécurité, soit des réglages par défaut bien trop permissifs, et les choix de l’utilisateur lui-même, en particulier quand il doit choisir un mot de passe.
Il faut savoir en effet que la variété des appareils concernés est relativement grande. Le cas des téléviseurs est certainement le plus classique, mais on parle bien des objets intelligents au sens large, ce qui intègre d’autres classes de produits tels que les frigos ou encore les routeurs. Sur ces derniers, le choix d’un mot de passe peut avoir des conséquences lourdes, le pirate pouvant alors changer les réglages à sa guise.
Une bascule du qualitatif vers le quantitatif
L’attaque dénote également un changement d’attitude des pirates qui voient dans les objets connectés une nouvelle opportunité de continuer leurs pratiques, mais sous un angle différent : plutôt que de s’attaquer à des ordinateurs dont la sécurité augmente constamment, ces nouveaux appareils promettent une capacité de distribution potentiellement gigantesque. En d’autres termes, basculer du qualitatif vers le quantitatif, car si les objets connectés sont le plus souvent beaucoup moins puissants, ils seront rapidement bien plus nombreux. Preuve en est que chaque appareil, toujours selon Proofpoint, n’aurait pas envoyé plus de dix emails.
David Knight, responsable dans la société de sécurité, résume la situation : « Les botnets sont déjà une inquiétude majeure de sécurité et l’émergence des thingbots rend la situation bien pire. La plupart de ces objets ne sont que faiblement protégés au mieux et les utilisateurs n’ont virtuellement aucun moyen de détecter et de corriger les infections quand elles surviennent. Les entreprises pourraient être confrontées à une augmentation des attaques distribuées au fur et à mesure que davantage de ces appareils arrivent en ligne et que les pirates trouvent de nouveaux moyens de les exploiter ».
Finalement, le préquel de Terminator n’est plus très loin.
Commentaires (61)
Va falloir que je vois si mon samovar ne poste pas sur PCI à ma place !
Sinon, c’était prévisible. Les concepteurs de ces objets ont fait comment pour ne pas y penser ?
A quand la première friteuse connectée qui mine secrètement des bitcoins ?
" />
Hé bah la déprime pour tous les geeks …. déjà qu’on devait dépanner le moindre ordi qui traine …. maintenant on va nous demander de réparer quasiment tout …. je pense que je vais faire payer mes services moi au rythme ou ca va ^^
Il y a cinq ans que je disait que mon frigo m’envoyait des messages ont me disait que j’étais bourré et de descendre de l’arbre.
Qui c’est qui est bourré et au sommet d’un arbre maintenant hein ? QUI ?
Le problème c’est que les produits connectes sont pousses par le marketing et/ou des managers qui ne sont pas techniques (et n’en ont souvent rien a secouer), du coup le concept de la sécurité n’arrive même pas au niveau de la réflexion sur le projet.
De plus comme ils veulent une tonnes de fonctionnalité en un minimum de temps sans vraiment de réflexion sur l’architecture du projet en amont, bah forcement après il y a des problème de conception -> stabilité/sécurité.
Encore un coup de Windows Embedded !!!! Oh wait
" />
Je crois que je vais tout simplement ne pas acheter de tels produits tant que la sécurité ne sera pas au point. Comme l’option carte bancaire sans contact, de ma banque.
" />
" />
" />
" />
" />
Au passage, ça tombe bien, je n’en ai pas besoin…
Un métier d’avenir la sécurité. Sinon j’ai offert un bracelet connecté à mon frère qui en est très content.
Reste à voir si des API peuvent sortir pour faire de la bidouille soit même :), parce que s’appuyer sur du Bluetooth c’est quand même pas la révolution du siècle.
Quoi… ça veut dire qu’ils vont pouvoir hacker les cocotes minutes et brûler la soupe ou transformer les poulets du four à micro ondes en zombies vengeurs ?! Mais ça va faire mourir plein de gens ça !
les utilisateurs n’ont virtuellement aucun moyen de détecter et de corriger les infections quand elles surviennent.
J’ai bien ma petite idée mais on va me dire que je trolle…
Comment faire sans unification?
Quand toutes les marques auront sortie leur petite appli pour leurs objets connecté on va faire comment?
Passer de l’appli A pour les lumière à l’appli B pour les plaques de cuissons à l’appli C pour la cocote minute et à l’appli D pour le frigo et à l’appli E pour la carafe d’eau à l’appli F pour la TV etc.. etc..
J’y crois moyen (a part si Google ou équivalent arrive à sortir un standard respecté par les constructeurs pour unifier tout ça)
Je ne peux qu’être d’accord avec l’article
Pas plus tard qu’hier ma balance Whiting m’a balancé un méchant coup de boule et m’a assommé.
A mon réveil, ressentant une forte douleur au bas du dos, j’ai suspecté ma Batte de baseball connectée 2.0 de m’avoir sauvagement quenellisée.
Je l’ai à l’oeil désormais et fruit de cette nouvelle expérience, je me suis m’y à l’apprécier
les utilisateurs n’ont virtuellement aucun moyen de détecter et de corriger les infections quand elles surviennent
ben ouais. vive le code fermé.
Super article à lire de préférence avec cette musique en fond
" />
Alors on connecte tout sous n’importe quel prétexte…
C’est ridicule, sans aucun doute une atteinte à la vie privé vu la sécurité des trucs et l’appétit de la NSA et consort, et accessoirement c’est une très bonne idée pour augmenter encore la pollution électromagnétique…
Décidément, cette société est en plein suicide…
Donc il faut protéger sa brosse à dents ou sa raquette avec un mot de passe…vive le progrès !
" /> 
" />
Exclusif ; un internaute arrêté parce que sa cafetière hébergeait des contenus pédophiles
" />
" />
Et c’est Linkii qui servait de relais
Les slips géo-localisables pour les femmes qui n’ont pas confiance en leurs maris ou le trousseau de clef ou le porte-feuille (tous les moyens sont bons, mais à quel prix)
" />
Evitez les électros “seconde main” reprogrammés
" /> 
" />
" />
Le dernier film sorti en DVD/BR 3.2 n’est pas lisible sur votre lecteur 3.1 (vous n’avez plus qu’à changer votre lecteur ou payer pour sa mise à jour (si on laisse faire maintenant, c’est ce qui va arriver bientôt)
" /> de plus en plus 
" />
" />
Si ces petits machins supportent l’ICMP et le SNMP, la solution idéale serait d’installer un serveur avec technologie Nagios pour “monitorer” l’activité de tous les appareils reliés au réseau local de son foyer.
" />
Pas à la portée de tout le monde (ni de moi d’ailleurs) mais les plus avertis s’en donneront à coeur joie !
Ça va être rigolo la domotique Skynet qui fait n’imp… Enfin les films d’épouvante avant-gardistes vont devenir réalité et on va se faire attaquer par un grille-pain sans effets spéciaux cheap ! *.*
Le problème étant que quand ta casserole connectée fera cuire des quenelles et qu’on te la pirate, ça deviendra un délit, et en plus tu seras condamné pour défaut de sécurisation de ta casserole et aussi incitation à la haine raciale, antisémitisme…
" />
" />
Tu risqueras une interdiction de faire la cuisine…
Non quand t’as Android dans ton réfrigérateur c’est normal que ce dernier t’envoi un mail, c’est Google add qui a scanné ton congel et t’as envoyé un mail ciblé pour te dire que Picard faisait 3% de promo sur ta glace préférée!
" />
Ce n’est pas une faille exploité, c’est une fonctionalité dans ce cas!
Moi je vois surtout le danger pour les libertés que vont représenter ces millions d’objets bourrés de capteurs et de puces de transmission qui risquent fort de devenir un jour un moyen de surveillance massif.
Non seulement leurs données permettront de reconstituer fidèlement tous nos trajets quotidiens, mais également de savoir qui nous avons rencontré, ce que nous avons dit, et le moindre de nos faits et gestes.
A terme, il suffira d’appuyer sur un bouton pour savoir tout de vous, jusqu’au plus infime détail de votre vie privée. Nul doute que votre patron trouvera aussi quelques objets “interessants” a mettre dans votre bureau.
Comme nous l’avons vu avec le scandale de la NSA, ce n’est pas un risque simplement théorique. Même les prévisions des plus parano étaient en deçà de la réalité.
Et tout cela pour quoi ? Quel bénéfice ***REEL*** apporteront ces objets connectés à l’humanité ?
Le problème viendra aussi avec les Hubots connectés, ça sera dramatique quand ton Sexbot enverra tout ce que tu as fait avec elle/lui sur Facebook / Twitter / Instagram / Flickr…
" />
Pire ! Il enverra aussi toussa à ta femme ou mari…
Quel merdier…
Aaah les objets connectés qui apprennent de nos usages pour notre bien le plus strict.
" /> petit cochon, je te mets à la place un documentaire sur des soldats qui tuent des méchants et les torturent, c’est mieux et plus sain.
" />
Comme ça demain, l’auto cuiseur intelligent connecté va nous dire : “Ecoute moi bien mon p’tit, t’es tellement mauvais à la cuisine que j’ai décidé de te prendre des cours. Tu commences lundi, l’autorisation de prélèvement sur ton compte a déjà été faite et j’ai payé l’année avec ta CB.”
Le frigo intelligent connecté fera directement ses courses sur Machin Drive (suivant les recommandations du WC intelligent connecté après qu’il ait analysé les restes) et la voiture intelligente connectée ira les chercher tout seul sans nous demander notre avis (c’est pour notre bien BORDEL !). (au fait, elle a fait le plein au passage)
Le thermostat intelligent connecté trouvera la couleur des murs un peu à chier, secondé par le capteur de luminosité intelligent connecté qui trouve que la pièce n’est pas économique en lumière. Ils nous inviteront d’un, à changer de femme parce que ses goûts en matière de déco sont pourris (hop, inscrit sur meetic, tu cliques tu niques) et au passage il ont invité un peintre.
Comme ça, plus qu’à s’allonger dans le canapé intelligent connecté, qui nous prendra de temps en temps un RDV avec un kiné à domicile parce qu’il nous trouve un peu tendu dans le dos, et à laisser la TV intelligente connectée choisir ce que nous devons regarder. Hein quoi ? tu veux regarder un porno ?
J’aime cette vision de l’avenir. Ca me rappelle le vaisseau de colonie des humains dans le film Wall-E avec un peu de The Island
Ca se trouve d’ici deux ans on aura un communiqué de Symantec qui annoncera avoir arrêté un réseau de cocottes minutes zombies