Votre réfrigérateur est-il un soldat d’une armée de botnet ?

Par Mathias Coopmans, consultant principal information management & analytics au sein de SAS Institute

Vendredi dernier, plusieurs parties importantes de l’Internet ont été indisponibles pendant des heures en raison d’une cyber-attaque. Cette attaque illustre d’une part l’évolution de la sophistication des risques de sécurité à l’ère du numérique et d’autre part, la faiblesse de la sécurité des dispositifs connectés. Pourtant des solutions existent.

Deux choses m’ont frappé dans cette affaire. La première est que l’attaque n’a pas été dirigée contre un site Web connu populaire, mais vers Dyn, une société qui gère une grande partie des adresses DNS des sites Web renommés. Ainsi, alors que les sites Web eux-mêmes fonctionnaient parfaitement bien, ils étaient inaccessibles.

Le deuxième point qui m’a frappé est que l’attaque a été réalisée via une armée d’objets connectés zombies dont les pirates avaient réussi à prendre le contrôle, car ils semblent être des cibles faciles à pirater. Certains parce que leurs propriétaires ne changent pas les mots de passe par défaut, d’autres parce qu’ils ont été conçus sans protection. En fait, ce sont de petits composants ou matériels basiques bon marché, et comme il y en a beaucoup, les pirates peuvent en trouver suffisamment avec une faible protection pour constituer une armée capable de frapper sérieusement à l’échelle mondiale.

Ce n’est pas la première fois qu’une telle attaque se produit. Il y a quelques semaines, une attaque similaire  a eu lieu en France. Les pirates ont attaqué OVH, l’un des grands hébergeurs de sites français, afin de mettre hors service l’un des sites Web de ses clients. Dans un modèle très similaire, ce sont plus de 100 000 caméras de surveillance qui avaient été piratées et utilisées pour mener la cyberattaque.

 

Quelles sont les conséquences d’une telle attaque, sachant que son seul but est de rendre un service indisponible, et non de voler ou d’altérer les données ?

 

Les données peuvent être altérées indirectement. Par exemple, que se passerait-il si elle parvenait à paralyser une grande partie de l’Internet le jour de l’élection présidentielle ? Elle pourrait causer des goulets d’étranglement en rendant les informations de trafic indisponibles, paralyser une partie des transports en commun, perturber les principaux sites des médias et informations, etc. Cela signifierait que moins d’électeurs pourraient aller voter, et si l’attaque parvenait à perturber certains états plus que d’autres, cela pourrait influer sur le résultat des élections.

Autre exemple, si cette attaque perturbait l’infrastructure technique d’un hôpital, les dispositifs de monitoring des patients pourraient être inopérants dans le cas où ils s’appuient sur une connexion Internet ou des services dans le cloud.

Comment éviter cela ? Il n’existe pas de réponse facile. Bien sûr, la sécurité des appareils connectés devrait être pensée dès leur conception, plutôt que d’avoir à combler les failles en urgence, après coup, lorsqu’il est trop tard. Il est essentiel de s’assurer également qu’il ne reste pas de porte dérobée.

Mais, comment pouvez-vous, en tant qu’organisation, vous protéger contre de telles attaques ? Bien sûr il existe des outils très spécialisés pour analyser les journaux de sécurité et vous protéger contre les attaques spécifiques. Typiquement, ceux qui ont été utilisés pour protéger les réseaux dans les attaques de la semaine dernière opèrent dans la couche d’infrastructure du réseau.

La plupart de ces outils sont conçus pour reconnaître des types spécifiques d’attaques en se reposant sur un ensemble de règles basées sur des techniques d’attaques connues. Mais l’analytique et le machine learning peuvent également jouer un rôle ici, en aidant à repérer des techniques inconnues via la recherche de comportements anormaux. Particulièrement, si l’on y associe des capacités d’analyse de données à la volée, elles peuvent vous aider à détecter un comportement malveillant au moment même où il se déroule, et non pas seulement à partir d’une base de données historique longtemps après les faits. L’analyse à la volée peut également être mise en œuvre « en ligne de front », ce qui signifie qu’elle pourrait même être réalisée à proximité ou même à l’intérieur du dispositif susceptible d’être vulnérable, de sorte que le dispositif pourrait s’auto-diagnostiquer grâce à des techniques d’apprentissage machine qui lui indiquerait s’il est en état de fonctionnement normal ou s’il a pu être piraté.

Ces attaques nous montrent qu’il existe encore des failles qui fragilisent l’Internet. Elles démontrent en outre que malgré les nombreux efforts déjà fournis, la sécurité reste une priorité qu’il convient de prendre en compte dans toute architecture IoT.

————

Mathias Coopmans associe sa curiosité pour les métiers avec des compétences techniques. Passionné par l’analytique et les big data, Mathias aide les entreprises à travers l’Europe du Sud-Ouest à créer de la valeur dans leur projets sur l’Internet des objets. Souvent pionnier et innovateur, il est à la recherche des moyens d’intégrer l’IdO dans leur organisation, tant sur le plan technique qu’au niveau stratégique.

Mathias s’exprime dans de nombreux des séminaires sur le rôle et l’impact des données et de leur analyse sur notre vie quotidienne.

————

En complément :

Un article (en anglais) résumant cette affaire pour le New York Time

et un autre sur l’attaque ayant ciblé OVH en France.