Third (T) : Peut-on dire que la sécurité des objets connectés a été améliorée depuis la parution de votre article en 2019 ?

Igor Zabukovec (IZ) : Les outils IoT sont de plus en plus nombreux, mais ils ne sont pas plus sécurisés¹. Maintenant, on peut même utiliser l’IA pour hacker plus facilement². C’est utile notamment dans le cadre d’attaques par fuzzing³. Celles-ci consistent à envoyer à l’objet connecté des données aléatoires, avec des valeurs qu’il n’est pas conçu pour recevoir (zéro, des valeurs négatives, des lettres au lieu de chiffres, etc.) pour trouver un bug. Ce bug peut ensuite se transformer en vulnérabilité qu’on peut exploiter. L’IA permet de procéder plus intelligemment, en n’envoyant que des données susceptibles de créer une erreur dans un contexte précis⁴.

Les hackers ont toujours un coup d’avance sur les patchers (ceux qui colmatent les brèches). On peut prendre l’exemple des jeux mobiles financés par la publicité. Un hacker peut très bien créer un faux jeu mobile, intégrer de la publicité dedans via Google Ads, puis envoyer des robots « jouer » au jeu⁵. Les robots vont surtout cliquer sur les pubs, ce qui rapporte alors de l’argent au hacker. Ces faux joueurs sont difficiles à détecter, et le hacker ne risque pas grand-chose s’il se fait prendre (au plus, un bannissement). Cette stratégie est surtout employée avec des faux jeux de casino, car les annonceurs paient cher pour y apparaître⁶. Ainsi, les casinos, même virtuels, sont un moyen pour les cybercriminels de gagner facilement de l’argent. Les choses n’ont pas tant changé que ça depuis les années 70 !

T : Connaissez-vous d’autres moyens de hacking apparus grâce à l’IA

IZ : Oui, il y a l’attaque par inversion de modèle⁷. Prenons l’exemple d’une IA de reconnaissance faciale qui sert à déverrouiller une porte. Je sais que cette IA connaît le visage d’une femme qui s’appelle Barbara. Je vais alors envoyer plein de visages à l’IA et observer comment elle les classifie. Grâce à un modèle mathématique, en envoyant un nombre suffisamment élevé de visages, je pourrai déterminer à quoi ressemble Barbara. En effet, au fur et à mesure, l’IA va classifier certains des visages envoyés comme étant « Barbara ». En récupérant tous les visages classifiés « Barbara », on peut trouver les points communs entre eux et ainsi reconstituer le visage de la personne recherchée.

Il y a aussi les attaques par empoisonnement des données d’entraînement. C’est très simple : l’attaquant va modifier les données sur lesquelles s’entraîne l’IA pour qu’elle se mette à servir ses intérêts. Si on reprend l’exemple de l’IA de reconnaissance faciale, on peut lui envoyer des données pendant qu’elle s’entraîne à reconnaître les visages auxquels il faut ouvrir la porte. À ce moment-là, on lui envoie une grande quantité de visage avec, par exemple, des lunettes de soleil, une casquette et une moustache. Une fois que l’IA a classifié cette forme de visage comme étant quelqu’un à qui il faut ouvrir, le hacker n’a plus qu’à se présenter devant la porte avec sa casquette, ses lunettes de soleil et une fausse moustache pour entrer.

L’IA peut également servir aux hackers dans mon exemple des robots qui cliquent sur de la publicité dans les applications de casino. Admettons que Google ait des « robots policiers » utilisant l’IA eux-mêmes pour détecter les faux visionnages de publicités⁸. Pour les contourner, le hacker peut entraîner une IA à comprendre comment les robots policiers fonctionnent. Ici aussi, il s’agit d’une attaque par inversion de modèle. L’IA du hacker va tester les limites des robots policiers pour savoir quelles actions sonnent l’alerte chez Google. Une fois que l’IA a compris comment les robots policiers classifiaient les comportements entre « suspects » et « non suspects », le hacker n’a plus qu’à utiliser ces connaissances pour préparer des robots visionneurs de publicités qui savent contourner le système de détection.

On pourrait rétorquer qu’il n’est pas possible de tester indéfiniment les limites des robots policiers sans se faire rapidement bannir. C’est exact, mais il est possible de détecter des vulnérabilités dans l’API (de Google, dans le cas présent) qui permettent de récupérer le code source des robots policiers. Ensuite, il suffit de le copier, et de fabriquer le robot policier soi-même, en retirant la restriction sur le nombre maximum d’utilisations.

Ces vulnérabilités sont extrêmement rares, et patchées (colmatées) en quelques jours lorsqu’elles sont découvertes. Cependant, il existe un marché du « Zero-Day Hacking », qui regroupe les hackers les plus doués de la planète⁹. Comme son nom l’indique, ce marché sert aux grandes entreprises technologiques et aux États, qui sont prêts à payer très cher pour connaître les vulnérabilités de leurs logiciels ou de leurs systèmes d’exploitation (ou du système d’exploitation des autres).

T : Quel est votre avis sur les mesures prises récemment par le gouvernement américain et par l’UE concernant la sécurité des objets connectés ?

IZ : Il semble que les labels soient à la mode. Les États-Unis ont créé le label « U.S. Cyber Trust Mark », qui pousse les constructeurs à améliorer la résistance des objets connectés au piratage (mots de passe longs et uniques, mises à jour régulières et automatiques, systèmes de détection des intrusions)¹⁰. L’UE, quant à elle, a dévoilé l’ « E.U. Cyber Resilience Act », qui a le même objectif, mais qui est contraignant¹¹.

La différence fondamentale entre ces deux projets est bien le caractère contraignant ou non du label. L’UE a en effet décidé de faire de la conformité à ses exigences en matière de sécurité une condition préalable à une commercialisation dans le marché intérieur. Évidemment, tout le monde n’est pas d’accord, car cela implique une hausse des coûts des objets connectés en Europe, mais il est certain que cette loi va dans le bon sens.

Ces labels n’empêcheront jamais un hacker déterminé de s’infiltrer dans un système. La bonne nouvelle, c’est qu’il est très rare d’être la cible personnelle d’un hacker. En général, les hackers vont au plus simple, et ils travaillent sur des masses d’objets connectés. Comme je l’expliquais dans mon article, les hackers utilisent Shodan pour scanner un environnement, dans l’espoir de découvrir des objets connectés. Ils vont ensuite tenter d’attaquer les objets trouvés avec un petit programme qui essaie une liste de logins et mots de passe communs sur internet. Si cette technique n’a pas fonctionné, ils peuvent pousser le vice avec une attaque dite « bruteforce », qui consiste à vérifier toutes les combinaisons de touches du clavier possibles pour un nombre de caractères donné. Un ordinateur récent peut tenter toutes les combinaisons de touches pour des mots de passe allant jusqu’à 12 caractères en seulement quelques minutes. Voilà pourquoi il est absolument nécessaire d’avoir un mot de passe long et complexe (majuscules, minuscules, caractères spéciaux). En effet, le temps nécessaire pour effectuer toutes les combinaisons de mots de passe de 13 caractères ou plus s’allonge considérablement, ce qui devrait refroidir les ardeurs des hackers¹². Une cible qui nécessite trop de temps pour un hacking n’est pas une cible intéressante, et le hacker passera à la suivante.

On rappelle, en effet, que les hackers cherchent à infiltrer les objets connectés dans l’espoir de se constituer un botnet. Leur « business model », c’est de vendre des attaques DDoS, ils ont besoin d’un très grand nombre de « zombies ». La meilleure stratégie n’est donc pas de chercher à absolument hacker tous les objets qu’ils trouvent, mais plutôt de ratisser large.

T : Passons à un cas pratique. Comment vous y prendriez-vous pour hacker un cabinet d’avocats ?

IZ : Plusieurs pistes me viennent à l’esprit. La première, c’est le phishing, c’est-à-dire l’envoi d’emails avec des liens vers de faux sites (typiquement, celui du greffe ou de Gmail), pour récupérer les mots de passe. La deuxième, c’est de trouver l’objet connecté le moins sécurisé du cabinet (en allant près du cabinet et en scannant les signaux avec un appareil dédié), et d’essayer de le hacker avec les méthodes expliquées précédemment et dans mon article. On peut aussi profiter des erreurs humaines, comme un oubli de supprimer l’email d’un stagiaire qui est parti.

C’est simple : les seuls systèmes qu’on peut vraiment qualifier de « sécurisés » sont ceux qui ne sont pas connectés à Internet, ou qui sont connectés en Ethernet (sans Wi-Fi).

T : Vous parlez d’un appareil dédié pour scanner les signaux numériques d’objets connectés. Connaissez-vous le Flipper Zero, cet accessoire capable de copier n’importe quel signal qui est très populaire sur TikTok ? On peut notamment voir des vidéastes hacker des panneaux de stations-service. Pensez-vous qu’il faudrait interdire l’accès à ce genre d’appareil pour la population générale ?

IZ : Effectivement, c’est un appareil intéressant¹³. Sur la question de l’interdiction, de toute manière, les hackers professionnels (ceux qui essaient de se constituer un botnet par exemple) ont déjà ce qu’il faut. Ils n’ont pas attendu le Flipper Zero. D’ailleurs, n’importe qui peut se procurer, sur Amazon, les composants intéressants du Flipper Zero, donc interdire cet outil en tant que tel ne résoudrait rien.

Maintenant, sur la question de savoir s’il est bienvenu de donner au citoyen lambda les moyens de hacker « clés en main », c’est plus complexe. Il faudrait connaître la proportion de personnes qui sont devenues des hackers en ayant commencé avec un Flipper Zero (ou appareil équivalent). Il y a fort à parier que c’est une proportion très faible des utilisateurs. En effet, quand bien même l’outil est facile d’accès, des connaissances approfondies en informatique sont requises pour lui faire atteindre son plein potentiel. À titre d’exemple, avec un Flipper Zero modifié, on pourrait hacker une voiture à ouverture électronique, voire même la démarrer¹⁴.

1. Vailshery, Lionel Sujay. “IOT Connected Devices Worldwide 2019-2030.” Statista, 27 juillet 2023. https://www.statista.com/statistics/1183457/iot-connected-devices-worldwide/. (Retour au texte 1)
2. Chao Chen, Kok-Leong Ong, and Lin Li. “Ai Is Making Smart Devices – Watches, Speakers, Doorbells – Easier to Hack. Here’s How to Stay Safe.” The Conversation, 5 juin 2024. https://theconversation.com/ai-is-making-smart-devices-watches-speakers-doorbells-easier-to-hack-heres-how-to-stay-safe-223738.(Retour au texte 2)
3. “Fuzzing.” Fuzzing | OWASP Foundation. https://owasp.org/www-community/Fuzzing. (Retour au texte 3)
4. Role of artificial intelligence in the internet of things (IOT) https://digitalcommons.odu.edu/cgi/viewcontent.cgi?article=1179&context=engtech_fac_pubs. (Retour au texte 4)
5. AppsFlyer. “The Marketer’s Field Guide to Mobile AD Fraud.” AppsFlyer, 20 août 2023. https://www.appsflyer.com/resources/guides/mobile-ad-fraud-for-marketers/. (Retour au texte 5)
6. “How Much Does Mobile User Acquisition Cost in 2024?” Mistplay. https://www.mistplay.com/resources/user-acquisition-cost. (Retour au texte 6)
7. “ML03:2023 Model Inversion Attack.” OWASP Machine Learning Security Top Ten 2023 | ML03:2023 Model Inversion Attack | OWASP Foundation. https://owasp.org/www-project-machine-learning-security-top-10/docs/ML03_2023-Model_Inversion_Attack. (Retour au texte 7)
8. “Scaling Security with AI: From Detection to Solution.” Google Online Security Blog, 31 janvier 2024. https://security.googleblog.com/2024/01/scaling-security-with-ai-from-detection.html. (Retour au texte 8)
9. “Where People Go When They Want to Hack You.” YouTube, 12 mai 2024. https://www.youtube.com/watch?v=TLPHmHPaCiQ. (Retour au texte 9)
10. “NIST Issues Guidance on Software, IOT Security and Labeling.” NIST, 4 février 2022. https://www.nist.gov/news-events/news/2022/02/nist-issues-guidance-software-iot-security-and-labeling. (Retour au texte 10)
11. “EU Cyber Resilience Act.” Shaping Europe’s digital future. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act. (Retour au texte 11)
12. https://www.passwordmonster.com/. (Retour au texte 12)
13. “Flipper Zero – Portable Multi-Tool Device for Geeks.” FLIPPER. https://flipperzero.one/. (Retour au texte 13)
14. “Flipper Zero Car Key Signal – Unlock Car Key FOB Hack.” YouTube, 15 janvier 2023. https://www.youtube.com/watch?v=HwdoHMVKTpU. (Retour au texte 14)