L’Internet des Objets sera un véritable eldorado pour les cybercriminels de tout poil… et les attaques DDOS seront très probablement légion.
Le 22 septembre 2016 le blog Krebs On Security – du chercheur en cybersécurité Bryan Krebs –fut victime d’une « attaque par déni de service » (DDOS : Distributed Denial Of Service) chiffrée à 620 gigaoctets/seconde, franchissant le record de 300 Go/s. Son hébergeur Akamai s’avoua incapable de protéger le blog d’un tel assaut et expliqua que les contre-mesures nécessaires auraient coûté de 150 000 à 200 000 dollars/an. Heureusement, Google se porta au secours du blogueur démuni avec sa technologie anti-DDOS nommée Project Shield, forte de son immense et résiliente infrastructure numérique.
Victime d’une cyberattaque
Le même jour, l’hébergeur et fournisseur d’accès OVH fut victime d’une attaque du même type estimée à 100-800 Go/s… avec des pics à 1,5 téraoctet/seconde (To/s) ! Les hébergeurs/FAI Psychz Networks et Cogent Communications, le fournisseur de serveurs virtuels privés Choopa et l’éditeur de jeux vidéo Blizzard furent également paralysés par des attaques DDOS de plusieurs centaines de Go/s.
N.B. : les attaques DDOS consistent à inonder un réseau / un serveur de données via un réseau de machines infectées (botnets) afin d’empêcher son fonctionnement et/ou d’en interdire l’accès.
L’ampleur inédite de ces attaques DDOS doit énormément à des botnets mobilisant – outre les ordinateurs classiques – des routeurs, des enregistreurs vidéo numériques et des caméras de surveillance. Ainsi, plus de 500 000 caméras « zombifiées » furent impliquées dans l’attaque DDOS contre Krebs, et près de 150 000 caméras contre OVH.
Vulnérabilité des objets connectés
De fait, le cauchemar des professionnels de la cybersécurité a pris forme : les objets connectés sont désormais des vecteurs de cyberattaques parmi tant d’autres. Ces objets sont rarement pourvus d’une console d’administration, d’un module de mise à jour et encore moins d’une solution minimale de sécurité… et laissent présager un Internet des Objets potentiellement infernal.
Faut-il s’attendre à de méchants botnets de réfrigérateurs, d’horloges ou de voitures connecté(e)s visant des équipements domestiques ou des serveurs professionnels ? Des gares, des aéroports ou des banques seront-ils/elles paralysé(e)s par des cyberattaques massives d’objets connectés ?
Penser à la cybersécurité
Pas à pas, de nombreux produits manufacturés sont bien plus que des objets de métal ou de plastique dotés de mécanique, d’électricité et/ou d’électronique : ils deviennent connectés et intelligents. Leurs formes sont statiques et définitives, leurs fonctions sont dynamiques et évolutives… à l’image des smartphones Android / iPhone, du téléviseur Samsung Smart TV et des voitures intelligentes de Tesla Motors ou BMW qui acquièrent de nouvelles capacités après des mises à jour de leurs systèmes d’exploitation, apps, firmwares et/ou logiciels embarqués.
De fait, leurs conceptions et leurs utilisations devront également être (mieux) pensées à l’aune de la sécurité. Dans quelques années/décennies, votre voiture, votre télévision, votre réfrigérateur et vos objets connectés à domicile / au travail devront être muni(e)s d’un antivirus, d’un pare-feu et/ou d’une solution de sécurité fourni(e)s par les fabricants ou par des acteurs tiers, le tout couronné par votre culture générale de la cybersécurité et de l’infosécurité…
Toutefois, gardez-vous de toute illusion : l’Internet des Objets sera un véritable eldorado pour les cybercriminels de tout poil… et les attaques DDOS seront très probablement légion.