iot-objets-connectés

C’est l’histoire de quelques objets et caméras connectés.

L’IoT, L’Internet Of Things. Les objets connectés quoi si vous préférez. Si ces objets sont de plus en plus présents, nous pouvons nous interroger quant à leur sécurité « par défaut ». Bref, c’est l’histoire d’une caméra qui a cassé un bout d’Internet.

Pardon ?

Alors, pour celles et ceux qui auraient loupé l’information, un petit bout d’Internet était « cassé » ce week-end. Sur ce petit bout d’Internet il y avait le PSN, Twitter, Netflix et bien d’autres encore. Ces sites étaient, en résumé, inaccessibles pendant un temps. La faute à « un » objet connecté.

Ces sites n’ont pas été attaqués en soi. C’est un « point de passage » qui a été attaqué. Le point de passage en question s’appelle « Dyn » et c’est, pour vulgariser, la solution de gestion des DNS des sociétés concernées.

Pour résumer, si vous ne connaissez pas le DNS, c’est un « annuaire des Internets », c’est lui qui fait correspondre une adresse connue par un humain (http://google.fr par exemple) à son adresse IP, compréhensible par les machines (64.233.134.94 par exemple).

En résumé, c’est comme si, pour paralyser des villes, on venait à bloquer la seule route qui permet d’y accéder : les villes sont intactes mais plus personne ne peut les rejoindre.

Comment ?

C’est là que « ça devient drôle », si on peut encore en rire. Selon certaines informations, il semblerait que l’attaque provienne d’objets connectés mal sécurisés : des caméras et d’autres objets connectés, dont certains fournis par la société Hangzhou Xiongmai Technology.

Le défaut réside ici dans la sécurité pour accéder à l’administration de l’objet. En guise de mot de passe d’accès, ces derniers sont généralement équipés d’identifiants « bidons » et génériques tels que admin/pass, admin/password, root/password, root/root… bref, autant dire qu’il n’existe aucune sécurité, cela ira plus vite.

Une fois l’accès ouvert, ce qui est faisable par quasiment n’importe qui, tout devient possible, ce qui n’est pas à la portée de n’importe qui, du moins, à la portée de moins de monde… enfin, normalement…

Ce sont donc des centaines, des milliers, voire plus, d’objets connectés infectés qui ont servis de « relais » pour attaquer Dyn et ainsi le faire tomber, faisant tomber avec lui quelques gros autres sites.

La faute à qui ?

Dans ce cas, on peut se demander « à qui la faute ? »

Est-ce au site Internet, qui a fait la bêtise de passer par un tiers pour gérer un aspect critique de son activité, à savoir le DNS ?

Est-ce à l’entreprise, qui n’a pas tout fait pour éviter que cela puisse arriver ?

Doit-on incriminer les clients, qui n’ont pas sécurisé leur accès ?

Alors, les sites Internet ?

Les sites Internets comme Google et d’autres gèrent leurs DNS et les hébergent… car ils savent le faire. De très nombreuses boites n’ont pas la compétence pour leur gestion DNS et s’adressent alors à des entreprises dont c’est le métier. L’entreprise préfère donc déléguer cette gestion. D’autant plus que si l’employé ou l’équipe fait correctement son travail, ils seront payés à … plus grand-chose. Du moins c’est ce que l’entreprise pensera, elle imaginera cette équipe ou la personne employée comme un centre de coût qui ne rapporte rien. A mes yeux, nous ne pouvons donc pas jeter la faute sur ces sociétés.

On peut les accuser de phagocyter Internet, d’en faire un minitel 2.0, d’en faire un monde fragile à tout fermer et tout centraliser. Des pans entiers d’Internet s’effondrent lorsqu’un service tombe. Mais ceci est une autre histoire…

La faute des entreprises qui fabriquent ces objets ?

En partie. Du moins selon moi, je ne sais pas ce que vous en pensez. Un article de juillet sur ZDNET en parlait d’ailleurs : Peut-on penser la sécurité des objets connectés dès leur conception ?

Les entreprises qui surfent sur les objets connectés se livrent à une concurrence extrêmement féroce, dans un domaine où des milliards sont en jeu. Le secteur est relativement jeune, en pleine expansion, de nouveaux objets arrivent chaque semaine… dans cette configuration, l’entreprise vise la sortie du produit le plus rapidement possible. Ils intègrent donc le minimum de sécurité, si c’est rapide et pas très cher, c’est très bien. Et on prie pour que tout aille bien.

Penser à la sécurité d’un objet exige une réflexion profonde, en amont. Cela demande du temps, des cerveaux, des claviers, du temps, du temps et du temps. Et du temps, ces sociétés déclarent ne pas en avoir.

C’est très, trop souvent même, la sécurité qui est mise de côté… et c’est ainsi qu’on se retrouve avec des objets connectés partout, qui souffrent, pour beaucoup, d’un énorme problème de sécurité.

Donc oui, les entreprises sont en partie responsables.

La faute aux clients ?

« C’est compliqué ». D’un côté, les attaquants semblent avoir obtenu un accès à l’objet connecté en testant des couples d’identifiants et de mots de passes génériques… on suppose donc que l’utilisateur n’a touché à rien. N’a pas changé son mot de passe, n’a pas mis à jour son périphérique…mais le savait-il seulement ?

Je considère que le gros du travail, la « faille », ici, c’est la pédagogie. La majorité des clients n’ont pas envie de se casser la tête, ils achètent un objet, le démarrent, s’en servent, point. Les risques liés à l’utilisation de ces objets connectés ne sont que très peu mentionnés. Les faiblesses « naturelles » du produit en sortie d’usine aussi.

Ainsi, il faudrait forcer un certain nombre d’actions, comme la modification du mot de passe d’accès à l’administration, ou la mise à jour de l’objet, sous peine de le rendre inopérant. Hélas, si c’est magnifique sur le papier, encore faut-il que cela soit faisable en vrai. Il faut reconnecter l’équipement à un réseau, un accès Internet, penser à mettre un firmware à jour, savoir ce que c’est qu’un firmware tant qu’à faire, changer un mot de passe, savoir comment le faire, pouvoir forcer des mises à jour, s’assurer de le faire quand l’équipement est connecté, le tout dans le plus grand confort d’utilisation pour l’utilisateur… bref, une galère évidente.

En attendant, une chose est sûre : la sécurité de ces objets laisse à désirer, et si ce problème de sécurité n’est pas rapidement pris en compte, alors ces problèmes d’attaques massives reviendront, encore et encore.

Et le problème ne date pas d’hier… des caméras connectées à Internet, cela existe depuis déjà longtemps… et il est même possible de les regarder à distance lorsque … le mot de passe est celui par défaut. Mais ceci est une autre histoire…..

2 réflexions au sujet de « C’est l’histoire de quelques objets et caméras connectés. »

  1. Ping : #0.16 | SWEETUX
  2. Bel article, qui j’espère permettra d’ouvrir l’esprit des personnes qui pensent que le monde du tout connecté est tout joli.

    Je ne te rejoins pas complètement sur ceci: « Ainsi, il faudrait forcer un certain nombre d’actions, comme la modification du mot de passe d’accès à l’administration, ou la mise à jour de l’objet, sous peine de le rendre inopérant. Hélas, si c’est magnifique sur le papier, encore faut-il que cela soit faisable en vrai. »

    Forcer le fait de faire un update/upgrade firmware ou logiciel, je suis contre, car via un update il est possible d’envoyer un paquet d’informations qu’elles soit techniques ou non et auxquelles on n’adhère pas forcément et qui pourrait, sans le vouloir, réduire ou détruire certaine fonctionnalités.
    Par contre, avertir l’utilisateur d’une quelconque faille ou problème de sécurité serait plus intéressant (Je prend toujours l’exemple de synology, qui renvoie directement au site web de synology pour voir le contenu des updates) ensuite libre a la personne de faire l’update.

    Le sujet est très complexe, c’est difficile de déterminer le réel « coupable », mais je félicite ton regard objectif pour chacun des partis 🙂

    A+

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.