Numéro trois
Retrouvez le numéro trois de Third : Vivre avec les objets connectés
Retrouvez le numéro trois de Third : Vivre avec les objets connectés
Avant toute chose, il convient de trouver des cibles à infecter. Pour cela, votre meilleur allié est le site www.shodan.io (Shodan), parfois surnommé le « google des hackers ». Ce site, en effet, recense des centaines de milliers d’adresses IP, scanne leurs différents ports et expose les objets connectés vulnérables.
L’adresse IP permet d’identifier de façon unique un ordinateur sur un réseau. Le numéro de port indique l’application à laquelle les données sont destinées. Les objets connectés communiquent entre eux via différents ports. Ainsi, lorsque l’ordinateur reçoit des informations destinées à un port, ces données sont envoyées vers l’application correspondante. Par exemple votre navigateur web communique sur le port 80 et si vous voulez communiquer de façon sécurisée, il faut utiliser le port « https » 443.
L’objet connecté le plus utilisé par les hackers est probablement la caméra de sécurité ou webcam. En effet, elles sont très répandues et sont souvent peu sécurisées. Par exemple, si vous cherchez « WebcamXP », un des logiciels les plus populaires pour les webcams Windows, Shodan vous donnera la carte du globe avec la géolocalisation exacte des modèles qui utilisent ce logiciel. Pour chaque adresse IP, Shodan fournit également les ports sur lesquels communiquent ces objets.
Essayez par vous-même. Allez sur le site www.whatsmyip.com pour trouver votre adresse IP puis entrez la sur Shodan pour vérifier si vous n’avez aucun objet publiquement accessible. En quelques minutes seulement vous pouvez donc avoir une importante liste d’adresses IP ainsi que les ports par lesquels communiquent des objets connectés.
Une fois les ciblées trouvées, il faut maintenant s’y connecter pour modifier leur fonction initiale. Pour cela il existe deux
solutions : trouver des identifiants, ou trouver une faille de sécurité de l’objet.
Reprenons l’exemple des caméras. En effet, beaucoup de caméras bon marché et de mauvaise qualité n’ont pas de système de sécurité avancé – voir aucun. Si vous essayez de vous connecter à une webcam en tapant la combinaison « adresse IP : port » dans votre navigateur web, vous tomberez sur une demande d’identification. Vous connaîtrez également la version du logiciel utilisé.
La première chose à faire est d’essayer de se connecter avec des identifiants par défaut. Par exemple, certaines webcams n’ont même pas de mot de passe ou bien utilisent les identifiants classiques « root / root » ou « admin / admin ».
On peut également acheter des listes des mots de passe courants sur internet qui sont, dans beaucoup de cas, suffisants pour se connecter. Si les mots de passe par défaut ont été changés, il est également possible d’inspecter le code source de la page web pour voir si l’informaticien n’a pas laissé des identifiants par mégarde.
Enfin, la troisième solution est de trouver les vulnérabilités du logiciel utilisé par l’objet. Pour cela, entrez la version du logiciel sur Google, et vous trouverez probablement des failles sur des sites spécialisés. Bien entendu, plus le logiciel est ancien, plus il vous sera facile de trouver des failles.
Une fois connecté vous pouvez contrôler l’objet en lui injectant du code informatique. Injecter du code informatique consiste à modifier le logiciel contrôlant l’objet et donc altérer son utilisation initiale. En automatisant ce processus et le répétant des milliers de fois vous contrôlerez un nombre assez conséquent d’objets pour lancer vos attaques.
Lorsque vous contrôlez plusieurs milliers d’objets connectés (« bot »), vous pouvez les utiliser à votre guise : pirater des webcams pour espionner des opposants ou encore rendre inutilisables des services internet.
Si des milliers d’objets se connectent sur un même site internet au même moment, cela générera un flux de trafic si important que le site ne pourra pas l’absorber et cessera alors de fonctionner. C’est ce qu’on appelle le « denial of service attack », pratique courante chez les hackers.
Les caméras sont beaucoup utilisées dans ce genre d’attaque. Par exemple, plus de cent-mille caméras ont constitué une grande partie de Mirai, un réseau d’objets infectés « botnet ». Ses créateurs proposaient de le louer pour des attaques en pointant son trafic vers des sites cibles. Le 21 octobre 2016, le botnet Mirai a attaqué massivement le service Dyn Managed Dns avec un trafic de plus de 1 terraoctet par seconde. De nombreux sites comme GitHub, Netflix ou encore Airbnb, qui utilisaient ce service, ont donc été inaccessibles pendant plusieurs heures.
Bien entendu, ce flux de trafic peut être pointé vers d’autres systèmes informatiques qui contrôlent des usines, des centrales électriques, ou encore des services bancaires comme en 2014 où une usine d’acier a été attaquée en Allemagne. Les hackers ont pris contrôle du logiciel contrôlant la chaine de production causant des dommages majeurs.
Que ce soit des grands (usines) ou petits (webcams) systèmes connectés, ils communiquent entre eux sur internet. Si vous voulez les protéger, il faut les enfermer dans un réseau fermé ce qui leur fait perdre tout intérêt.
Il existe des solutions pour réduire le risque de hacking. La plus efficace consiste à acheter du matériel de qualité et faire des mises à jour régulières. Plus simple à dire qu’à faire. En effet, la plupart des utilisateurs ne sont pas experts en sécurité informatique, et mettre à jour sa serrure digitale n’est pas un réflexe courant. De même, si vous êtes un hôpital, mettre à jour des milliers d’ordinateurs ne va pas se faire en trois minutes.
Au fait de ces risques, la législation évolue comme en témoigne l’introduction du Cybersecurity Improvement Act de 2019 aux Etats-Unis, qui impose certaines normes de sécurité minimales pour lancer un produit ou encore l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) au sein de l’Union Européenne, qui a pour but d’assurer un niveau élevé de sécurité des réseaux et de l’information. Même Shodan a lancé en 2019 un service premium pour aider des organisations à visionner en temps réel les failles de leurs systèmes d’objets connectés.
Les propos sur la sécurité des objets connectés peuvent s’avérer trop techniques ou abscons, réservés à une communauté d’experts. C’est tout le contraire de cette contribution d’Igor Zabukovec, ingénieur data scientist, qui réussit à nous faire toucher du doigt la simplicité avec laquelle un objet connecté peut révéler tous ses secrets à une personne non autorisée. Une contribution passionante à lire avec attention !
www.third.digital