L’Internet of Things (IoT) - ou "Internet des objets" - a montré ce week-end ses faiblesses en termes de sécurité informatique. La spectaculaire attaque qui a rendu inaccessible pendant plusieurs heures, vendredi 21 octobre, des géants du Web tels que Twitter, PayPal ou Spotify a été menée en utilisant une faille de sécurité présente sur des objets connectés comme les webcams, les imprimantes ou les thermostats.

Les cybercriminels ont envoyé, via environ dix millions d’objets connectés, des requêtes en continu à la société américaine Dyn (qui s'occupe de la résolution des noms de domaines). Submergée, cette dernière n’a plus pu faire face aux demandes du commun des internautes qui, tapant une requête dans leur barre d’adresse Internet, n'étaient pas redirigés vers le bon site.

Rappel d’objets connectés

Une partie des objets connectés utilisés pour mener cette attaque a été fabriquée et vendue par la société chinoise Xiongmai, qui les a rappelés en urgence, lundi 24 octobre, pour leur appliquer un correctif de sécurité. Elle conteste, cependant, le nombre avancé dans la presse de 550 000 produits de sa marque qui auraient servi les cyber-desseins des assaillants.

Ce type d’attaques, appelé déni de service, n’a rien de neuf. Les cybercriminels utilisent depuis des années des armées d’ordinateurs piratés pour inonder de requêtes les sites ciblés et les rendre inaccessibles. Mais la popularité croissante des objets connectés a étendu leur champ des possibles. “On est bien au-delà de ce que les pirates informatiques ont pu faire avec des PC”, assure Chris Moret, vice-président cybersecurité pour la société française des services numériques Atos, interrogé par France 24. Il rappelle qu’il existe actuellement environ six milliards d’objets connectés dans le monde, contre “seulement” plusieurs centaines de millions d’ordinateurs. La puissance d’une attaque par déni de service dépend essentiellement du nombre de périphériques piratés, d’où l’intérêt de passer par la case IoT.

Tous les thermostats, toutes les webcams ou les imprimantes ne présentent pas de faille de sécurité, mais Chris Moret reconnaît que “c’est l’un des points les plus préoccupants de ces objets, car dans bon nombre de cas la sécurité n’a pas été la priorité dès le départ”. Certains fabricants préfèrent mettre leur produit au plus vite en vente quitte à négliger l’aspect sécurité informatique afin de profiter d’un engouement momentané pour ceux-ci.

Difficile ensuite de rattraper le coup. “Tous les ordinateurs équipés de Windows ou MacOs se mettent régulièrement et presque automatiquement à jour pour corriger des failles découvertes, mais rares sont les utilisateurs qui mettent à jour leur télé ou thermostat connecté”, explique l’expert français. Une véritable aubaine pour les cybercriminels.

Coup d’essai

L’attaque de vendredi n’était d’ailleurs probablement qu’un coup d’essai. “Elle n’a pas été revendiquée et il n’y a pas eu de suite [demande de rançon, fuite d’informations, NDLR], ce qui suggère que le ‘coup de maître’ est encore à venir”, prédit Chris Moret.

Heureusement, ces objets connectés contiennent rarement des informations aussi sensibles que celles qui sont stockées sur un ordinateur. Les conséquences, outre les fait pour les internautes d'être privés d’accès à certains sites, sont donc moins importantes que dans les cas de vols d’informations personnelles ou de données bancaires.

Mais les téléviseurs et les thermostats ne sont pas les seuls objets à être de plus en plus connectés. “Il y a des domaines, comme la santé ou l’automobile, qui doivent être sécurisés en priorité”, souligne Chris Moret. Des experts en sécurité informatique ont démontré que les pacemakers ou les voitures connectées peuvent par exemple être piratés à distance.

Les constructeurs sont de plus en plus sensibles à ces problématiques, assure Chris Moret. L’arrivée sur ce secteur de géants du Net à la pointe des questions de sécurité informatique, comme Google ou Apple, devrait aussi tirer les normes vers le haut.

Mais il y aura toujours des acteurs qui, pour se faire une place au soleil, chercheront à vendre moins cher que leurs concurrents, quitte à faire des compromis sur la sécurité. D’où l’appel de certaines sommités du secteur, comme l’expert en sécurité Brian Krebs, pour la création d’un organisme international chargé d’établir des règles de sécurité à appliquer par tous. Au risque de voir votre frigo devenir un jour votre pire ennemi.