publié le 30/09/2016 à 06:30

Et si les plus grosses attaques informatiques commençaient désormais... dans votre frigo connecté ? Depuis le 18 septembre, OVH, premier hébergeur français de sites web, est victime d'une attaque informatique de type DDoS d'une ampleur inégalée. Et surtout d'un genre nouveau, qui pourrait bien faire du grabuge dans le monde de l'Internet des Objets (IoT).



Une attaque DDoS, ou attaque par déni de service, est un moyen relativement commun d'empêcher un site de fonctionner. Elle consiste à submerger les serveurs d'une entreprise ou d'une administration sous un flot de requêtes, ce qui sature le réseau et empêche le bon fonctionnement du service. Selon Octave Klaba, le PDG de l'hébergeur français touché en septembre, le trafic de requêtes a atteint jusqu'à 1 térabit par seconde lors de l'attaque informatique. Un volume inédit.



This botnet with 145607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn. — Octave Klaba / Oles (@olesovhcom) 23 septembre 2016

En général, les attaques DDoS sont menées par des pirates qui prennent possession d'un grand nombre de PC infectés, appelés "Botnets". Contrôlés à distance, ceux-ci envoient directement les requêtes malveillantes au site visé. Mais cette fois-ci, les pirates qui ont mené l'opération ont eu recours à un tout autre moyen : un réseau d'environ 145.000 caméras de surveillance, transformées en véritables "objets zombies".



Les objets connectés ont plus de failles de sécurité que les PC

Les objets connectés, nouvelles cibles des pirates informatiques ? Selon Samuel Dralet, le dirigeant du cabinet d'expertise en sécurité des systèmes d'informations Lexfo, les attaques informatiques qui détournent des objets connectés se font en effet de plus en plus fréquentes. La raison est simple : il est aujourd'hui plus facile de casser la sécurité d'un objet connecté que d'un PC, notamment en forçant les mots de passe on en accédant directement à l'interface de configuration des appareils.



Pour beaucoup d'objets connectés, l'une des explications à ce faible niveau de sécurité est économique : "Mieux sécuriser un appareil entraîne une hausse des coûts de production pour l'entreprise qui la produit", fait-il remarquer. Systèmes de climatisation, voitures, volets : depuis plusieurs années en effet, le marché des objets connectés est en pleine expansion. Mais dans cette course frénétique à l'équipement connecté, les fabricants privilégient souvent le design à la sécurisation des données.



En juillet 2014, une vaste étude réalisée par l'entreprise Hewlett-Packard montrait ainsi que 70% des objets connectés contenaient au moins une faille de sécurité. Sur un large éventail d'objets connectés (thermostats, prises, serrures, portes automatiques), les techniciens d'HP avaient identifié en moyenne 25 failles de sécurité par appareil. En 2015, deux chercheurs américains avaient également réussi à pirater une Jeep à distance tandis qu'elle roulait sur l'autoroute en entrant dans le système Uconnect, qui reliait la voiture à internet. Le fabricant Chrysler avait alors été contraint de rappeler 1,4 million de véhicules.

La sécurité des objets connectés, un marché émergent ?

Pour Samuel Dralet, la faible sécurisation des objets connectés est aussi à imputer au manque de vigilance des particuliers et des entreprises clientes. "Les utilisateurs d'objets connectés font moins attention à la sécurisation de leurs caméras ou de leur frigos qu'à celle de leurs ordinateurs", explique-t-il.



Selon lui, ces menaces qui pèsent sur les objets connectés ouvrent un nouveau marché dans le monde de la sécurité informatique. "Plusieurs entreprises de cybersécurité interviennent déjà sur ce type d'objets, notamment dans le domaine de l'industrie", explique-t-il. Mais elles montrent l'importance d'ouvrir ces questions au grand public. Le 22 juin, l'école d'ingénieurs de Grenoble (INPG) a par exemple organisé une journée de conférences sur le thème de "la cyber sécurité des objets connectés", pour sensibiliser les participants sur les bonnes pratiques à adopter face à ces nouveaux objets.



De son côté, François Paget, administrateur du CLUSIF (Club de la sécurité de l'information français) souhaite "que les fabricants se rapprochent davantage des spécialistes de la sécurité" afin de perfectionner leurs outils de sécurisation.

Sécuriser les objets connectés comme n'importe quel ordinateur

Car comme toute nouvelle technologie, les objets connectés nécessitent d'être abordés avec précaution. Selon Samuel Dralet, il existe ainsi des moyens assez simples pour éviter au maximum que vos objets connectés soient détournés à des fins malveillantes. "Il ne faut surtout pas négliger les mots de passe et ne jamais laisser celui défini par défaut", conseille Samuel Dralet. "Pensez également à bien filtrer l'accès de l'objet à Internet, pour ne lui permettre qu'un accès au réseau interne, et effectuez les mises à jour nécessaires", ajoute-t-il.



Si l'on décide d'acheter un objet connecté, il est également conseillé de suivre l'actualité autour de ce produit pour se tenir au courant des éventuelles failles de sécurité, mais également "apprendre à sécuriser les objets connectés comme n'importe quel ordinateur relié à Internet", précise Samuel Dralet.



Pour François Paget, plus généralement, "il faut bien faire comprendre aux gens que tout objet connecté contient des données personnelles, et que toute donnée personnelle intéresse les pirates informatiques". De quoi inciter à la prudence les amateurs d'IoT.