Depuis 2010, les objets connectés sont de plus en plus présents dans le quotidien des individus, au point de devenir un phénomène de mode. Ces objets ayant pour objectif de faciliter le quotidien de leurs possesseurs peuvent prendre différentes formes, allant du frigo jusqu’à la montre. Selon l’Institut Idate, on estime le nombre d’objets connectés à 15 milliards à travers le monde, soit environ 3,5 fois plus qu’en 2010. Toujours selon cette source, le phénomène devrait continuer à s’amplifier puisqu’elle estime le nombre d’objets connectés en 2020 entre 50 et 80 milliards. Cependant, ce phénomène engendre de nouveaux risques en matière de sécurité pour les utilisateurs, les concepteurs de ces objets et les sites internet.
En 2015, les pirates Charlie Miller et Chris Valasek, ont démontré la vulnérabilité des objets connectés en prenant le contrôle d’une voiture intelligente produite par le Groupe Fiat Chrysler, pouvant par la suite allumer les essuie-glaces. Plus grave encore, ils auraient pu bloquer le système de frein et contrôler le système d’accélération. Suite à cette démonstration largement médiatisée, le Groupe Fiat Chrysler a rappelé plus d’un million de véhicules afin d’effectuer des mises à jour sur leur logiciel et augmenter le niveau de sécurité. Une des conséquences de cette démonstration est le sentiment de méfiance vis-à-vis des constructeurs de voitures connectées. Ceci pourrait avoir des répercussions économiques sur les ventes. Pour les utilisateurs d’objets connectés, le risque vient principalement du vol de données personnelles que peuvent stocker les objets connectés, ces informations allant du carnet d’adresses aux numéros de cartes bancaires. Ces risques aujourd’hui ont été relativement bien identifiés par les entreprises et les utilisateurs. Cependant, les e-commerces sont moins conscients des problématiques qu’engendrent la multiplication des objets connectés pour leurs activités.
Pourquoi les objets connectés sont un risque encore peu identifié par les sites de e-commerce ?
Une des explications pour expliquer le manque de conscience du risque des objets connectés pour les sites de e-commerces et leurs activités est qu’ils ne sont pas directement touchés actuellement.
En effet, le pirate ne va pas pirater l’objet connecté de sa cible comme c’est le cas pour les constructeurs ou les utilisateurs mais les objets connectés d’individus lambda pour pouvoir atteindre le site. La technique utilisée par les hackers est appelée attaque DDos, en français attaque par déni de service. Cette technique consiste à inonder un serveur web afin de rendre celui-ci inopérable. Pour cela, le hacker utilise des machines zombies appelées en anglais Botnets, qui vont simultanément se connecter sur un serveur, le rendant ainsi inutilisable. Initialement, les Botnets étaient des ordinateurs de particuliers connectés sur Internet et infectés par un ver informatique ou un cheval de Troie. En février 2000, le Groupe Yahoo a subi une attaque DDos qui a paralysé ses serveurs pendant trois heures et entraîné des pertes financières estimées à 500 000 $ selon le groupe. Pour les grandes entreprises du e-commerce telles qu’Amazon, la menace des attaques DDos est bien identifiée. Néanmoins, pour les PME se développant sur Internet, ce risque n’est pas forcément bien assimilé.
Quel lien entre les attaques DDos et les objets connectés ?
Depuis l’apparition des attaques DDos, celles-ci ont été principalement effectuées à l’aide d’ordinateurs zombies. Cependant, depuis 2010, les machines zombies ont pris une nouvelle forme, celle des objets connectés. En effet, la société Proofpoint, spécialisée dans la sécurité informatique, a réalisé une étude en 2013 sur les attaques informatiques et a identifié l’utilisation de 100 000 objets connectés lors de ces attaques. Les experts en sécurité informatique parlent de Thing Botnets pour qualifier ce phénomène. L’augmentation du nombre d’objets connectés infectés est un risque pour les sites car les objets connectés génèrent des adresses IP difficilement identifiables comme menace par les moyens mis en place pour se protéger contre ce type d’attaque. Parmi les moyens actuels pour la protection contre les attaques DDos, il y a la solution d’héberger son site sur plusieurs machines. Ainsi les serveurs ne subissant pas l’attaque permettront aux personnes voulant se connecter sur le site de pouvoir continuer à profiter du service. Une seconde solution est de mettre en place un serveur tampon qui servira de filtre, bloquant les adresses IP les plus actives et donc normalement cellent qui commande les ordinateurs ou les objets connectés infectés. En outre il faut savoir que ces mesures sont parfois inefficaces et que les entreprises, notamment les PME développant leurs activités sur Internet n’ont pas les moyens financiers pour les mettre en œuvre.
La motivation des pirates, entre réputation et motivation d’ordre financière et politique
Il existe plusieurs raisons qui poussent les pirates à effectuer des attaques DDos. Lorsque des pirates lancent une attaque DDos contre des sites marchands, leur motivation est principalement financière. Les conséquences contre un site marchand peuvent être désastreuses et se caractérisent par une perte de chiffres d’affaire puisque les clients ne peuvent plus y accéder, mais aussi par une dégradation de la réputation du site. Les pirates informatiques ont conscience de cela et exigent donc des rançons auprès des entreprises afin de « libérer le serveur » comme ce fut le cas avec l’agrégateur de Flux RSS Feedly qui en 2014 a subi une attaque DDos. Une autre motivation qui va pousser un pirate à lancer une attaque DDos contre un site peut être d’ordre politique. En effet, le groupe de hacker Anonymous a réalisé plusieurs attaques DDos afin de protester contre des décisions politiques. Enfin, certains pirates lancent des attaques DDos pour obtenir une réputation. L’attaque lancée par Michael Calce contre le Groupe Yahoo relevait du défi, celui-ci n’ayant pas pour intention de demander de rançon.
Il existe différents types de pirates. Le premier type, qui est à l’origine des attaques DDos ayant pour objectif d’obtenir des gains financiers est appelé black hat hacker ou cracker. Le second type, ayant pour but d’améliorer la sécurité en décelant les failles est appelé white hat hacker. Parmi les white hat hacker et les black hat hacker, on retrouve les script-kiddies. Ces derniers ne programment pas et donc utilisent des logiciels « prêt à l’emploi ». Les script-kiddies sont, grâce à la facilité de contourner la sécurité des objets connectés, des personnes susceptibles de les utiliser comme machines zombies dans le cadre d’attaque DDos, d’autant plus que ces objets feront de plus en plus parti de notre quotidien dans le futur.
Les caractéristiques des attaques DDos en 2015, quelles évolutions ?
Selon l’étude réalisée par la société américaine Akamai, spécialisée dans la location de serveurs, les caractéristiques des attaques DDos ont évolué par rapport à l’année précédente. En effet les attaques DDos ont été plus puissantes, certaines étant supérieures à 100 Gbit/s. Ces attaques sont capables de paralyser le site internet ciblé mais aussi les autres sites hébergés sur le serveur. Il y a eu aussi une augmentation des attaques, basée sur la technique de réflexion et de démultiplication. On peut faire la relation entre l’augmentation des objets connectés et l’augmentation des attaques utilisant la technique de réflexion et de démultiplication car les objets connectés peuvent servir de routeur pour amplifier le nombre de requêtes et donc saturer la bande passante d’un serveur.
Aujourd’hui, les principales cibles des attaques DDos sont les sites de jeux, représentant 35 % des sites internet touchés par une attaque DDos cette année. En seconde position on retrouve les éditeurs de logiciels et les prestataires de services informatiques. Parmi les pays les plus touchés par les attaques DDos, on retrouve en première position la Chine, suivi des Etats-Unis et du Canada. En ce qui concerne la France, elle est le pays le plus touché par les attaques DDos d’Europe selon Kaspersky Lab, le nombre d’attaques augmentant par rapport à 2014.
La sécurité des objets connectés, un enjeu contre la lutte des attaques DDos
Selon Thomas Longstaff, la meilleure façon de lutter contre les attaques DDos est de « faire de la prévention afin de renforcer le niveau de sécurité des machines connectées au réseau et de protéger les machines cibles ». On peut expliquer cela par le fait qu’il est difficile de contrer une attaque DDos lorsque celle-ci est lancée. Aujourd’hui, les machines connectées au réseau sont aussi les objets connectés. Cependant, on estime que 70 % des objets connectés seraient susceptibles d’être piratés selon une étude de Hewlett-Packard. On peut expliquer la vulnérabilité des objets connectés par la présence de failles importantes en matière de protection du produit. On peut citer parmi ces failles la mauvaise gestion de la confidentialité, le défaut de manque de système de chiffrement et de mot de passe, l’absence de mise à jour du logiciel, des interfaces mal sécurisées. Aujourd’hui, les constructeurs d’objets connectés doivent faire un travail pour offrir un niveau de protection acceptable à leurs appareils. Il faut aussi sensibiliser les utilisateurs d’objets connectés à la sécurité de leurs objets à travers le besoin d’effectuer des mises à jour etle changement de mots de passe afin d’éviter que le produit soit utilisé à des fins malhonnêtes.
Les attaques DDos via des Thing Botnet, une réalité qui risque de s’amplifier
Pour conclure ce sujet, nous pouvons dire que bien qu’aujourd’hui marginale, cette pratique va sûrement s’amplifier dans le futur. La principale raison est le double intérêt pour un hacker de pirater les objets connectés en obtenant des informations sur l’utilisateur et de pouvoir utiliser l’objet connecté comme machine zombie pour attaquer des cibles plus importantes, les sites internet. Pour les fabricants d’objets connectés, il est primordial d’intégrer la partie sécurité de l’appareil dans la conception du produit, en prévoyant des mises à jour, et la possibilité de pouvoir modifier les mots de passe afin de rendre l’utilisation plus sûre pour les consommateurs. Pour les sites internet et notamment les PME, les attaques DDos risquent de devenir de plus en plus difficiles à gérer, notamment à cause du coût des prestations en matière de sécurisation des serveurs.
Camille Andreotta, étudiant promotion 2015-2016 du Master 2 IESC
Bibliographie :
Objet connecté : « Le développement des objets connectés : les chiffres »
http://www.objetconnecte.net/developpement-objets-connectes-les-chiffres/
Les Echos : « Des pirates informatiques ont pris le contrôle d’une voiture Chrysler »
http://www.lesechos.fr/27/07/2015/LesEchos/21987-044-ECH_des-pirates-informatiques-ont-pris-le-controle-d-une-voiture-chrysler.htm
Les Echos : « Les multiples facettes des attaques DDos »
http://archives.lesechos.fr/archives/cercle/2013/01/31/cercle_64468.htm
CNET : « Les objets connectés déjà utilisés dans des réseaux de pirates »
CERT-FR : « Le déni de service distribué »
http://cert.ssi.gouv.fr/site/CERTA-2000-INF-001/index.html
Wikipedia : « Chronologie des événements impliquant Anonymous »
https://fr.wikipedia.org/wiki/Chronologie_des_%C3%A9v%C3%A9nements_impliquant_Anonymous
Viruslist: « Akamai : le caractère des attaques DDos a changé »
http://www.viruslist.com/fr/news?id=197471299
CNPD : « Webcams et objets connectés : risques et précautions »
