L'Internet des objets nous a échoué | max eddy

Le week-end dernier, Internet américain a ralenti à un rythme effréné grâce à une attaque par déni de service distribué, ou DDOS. C'était une attaque intéressante pour deux raisons. Premièrement, les attaquants - quels qu’ils soient - n’ont pas inondé un seul site Web de requêtes indésirables, comme c’est l’habitude pour les attaques DDOS. Au lieu de cela, ils ont attaqué le fournisseur DNS Dyn, ce qui a provoqué le ralentissement de nombreux sites Web ou l'arrêt total de ses opérations. Les avertissements concernant la centralisation excessive de l'infrastructure DNS sont soudainement devenus très intéressants.

Le deuxième point, plus important, est le fait qu’une part non négligeable des périphériques impliqués dans l’attaque par DDoS était ce qu’on appelle des périphériques intelligents de l’Internet des objets. Habituellement, les attaquants propagent des logiciels malveillants sur des ordinateurs qui suivent ensuite sa commande et demandent simultanément des informations à des sites Web jusqu'à ce que le site se déforme sous la charge. Mais cette fois-ci, le trésor de zombies numériques inquiétant comprenait des caméras de sécurité et des routeurs sans fil.

La théière l'a fait

Mirai était au cœur de l'attaque et ne constituait pas un malware particulièrement exotique. Il recherche les périphériques connectés au Web à la recherche de ce qui semble être des périphériques IoT sous Linux, privilégiant apparemment les caméras de sécurité et les routeurs domestiques de Hangzhou Xiongmai Technology. Il recherche ensuite le code d'accès par défaut sur une table et se connecte. Une fois à l'intérieur, il confie le contrôle du périphérique à un serveur de commande et de contrôle central.

Bien que cette attaque ait été choquante dans ce qu'elle a accompli, ce n'est malheureusement rien que nous n'ayons vu venir. Lors de la conférence Black Hat en 2013, Craig Heffner a démontré sa capacité à prendre facilement en charge des caméras de sécurité connectées au réseau. Sa démonstration incluait des entreprises renommées que vous reconnaîtriez, notamment D-Link, Linksys, Cisco, IQInvision et 3SVision. Lorsqu'on lui a demandé quels dispositifs étaient vulnérables aux attaques, il a déclaré qu'il n'avait pas trouvé de marque impossible à contrôler.

Pour sa démo, Heffner a incité la caméra à afficher une vidéo en boucle, comme dans un film de hold-up. Mais la substance de son discours était beaucoup plus grave. Les appareils IoT tels que les caméras de sécurité, les bouilloires à thé, les réfrigérateurs et, oui, même les routeurs sans fil ne sont que de minuscules ordinateurs connectés à Internet. Si les assaillants veulent cibler une personne ou une entreprise en particulier, peut-il attaquer ces dispositifs mal défendus et les utiliser comme tête de plage pour explorer le reste du réseau de la victime. Et comme ce sont des ordinateurs minuscules, ils peuvent éventuellement être amenés à exécuter le code souhaité par l'attaquant.

Pensez-y de cette façon: vous pouvez acheter les portes les plus solides avec les meilleures serrures impossibles à protéger pour protéger votre maison, mais un voleur peut toujours pénétrer par les fenêtres.

L'IdO est différent

Dans le secteur de la sécurité, nous aimons blâmer les gens, pas les ordinateurs. Si les gens avaient été plus alertes, ils auraient peut-être attrapé le virus Heartbleed avant même qu'il ne soit introduit. Un dicton populaire dit que le point de défaillance le plus important de tout système de sécurité se situe entre l’ordinateur et le fauteuil. Exemple: le compte Gmail du président de la campagne électorale d'Hillary Clinton, John Podesta, qui nous a présenté sa recette de risotto, entre autres choses, a apparemment commencé par une arnaque au phishing.

Toutefois, dans le cas de la sécurité IoT, les consommateurs ne peuvent être tenus pour responsables de la même manière. En tant que propriétaire de voiture, par exemple, vous devez faire preuve de prudence lorsque vous conduisez et fournir un entretien raisonnable. L’entreprise automobile, à son tour, est tenue de vous fournir un produit qui ne vous tuera pas réellement.

Au fur et à mesure que notre société a changé, les attentes des consommateurs ont également évolué. Les défenseurs des consommateurs soulignent que certaines voitures étaient "peu sûres à toute vitesse". Et comme une créature en évolution, les voitures ont fait jaillir de nouveaux appendices: ceintures de sécurité, airbags et caractéristiques moins évidentes telles que les zones de déformation et les matériaux spécialement conçus pour protéger les consommateurs de manière raisonnable dans un monde en mutation.

Il en va de même pour la technologie grand public. La prolifération de logiciels malveillants et les dangers présentés par tout appareil se connectant simplement à Internet ont poussé les fabricants à jouer un rôle plus actif dans la protection des consommateurs. Windows, par exemple, est maintenant livré avec un antivirus installé et maintenu par Microsoft. La société publie également régulièrement des correctifs, car les défis auxquels les consommateurs sont confrontés sont trop complexes pour être traités par eux-mêmes.

Lorsque les smartphones ont commencé à décoller, les fabricants et les développeurs ont tiré les leçons des essais des années PC. Bien que la sécurité des appareils mobiles ait connu quelques difficultés au fil des ans, cette promenade est un peu difficile comparée à l’histoire du PC. Nous n’avons pas vu ce type d’infection généralisée sur les smartphones comme nous l’avons déjà vu avec Conficker, et nous espérons ne jamais l’avoir.

L'histoire de l'IoT a tracé un parcours différent, peut-être un navigateur utilisant un poisson rouge. Au lieu de contrôler l'accès à l'appareil et d'utiliser les meilleures pratiques tirées de la connexion de milliards d'ordinateurs et de téléphones au cours de plusieurs décennies, les fabricants ont lancé sur le marché des produits bon marché. Ceux qui ont été conçus, dans certains cas, pour ne jamais être réparés, mis à niveau ou corrigés. Et même si les problèmes pouvaient être résolus, il n’est sans doute pas raisonnable de s’attendre à ce que les utilisateurs traitent les dispositifs d’économie de travail de la même manière que les ordinateurs. La grande majorité des consommateurs présument, à juste titre, que si un appareil ne dispose pas d’écran ou d’une méthode de saisie, il n’est pas censé le réparer.

Cela n'a pas dû arriver

La partie la plus frustrante de la récente attaque par DDoS est que les fabricants d’IoT n’avaient besoin que de se pencher sur 30 années de technologie grand public pour voir l’écriture proverbiale sur le mur. Et s’ils ne pouvaient pas le faire, ils auraient pu tenir compte des avertissements lancés par les chercheurs en sécurité (entreprises et hackers amateurs). Ces personnes ont dit à tous ceux qui écouteraient que mettre sur Internet des milliards d'appareils supplémentaires, sans se soucier de savoir comment ils seraient utilisés, serait une mauvaise idée. En 2014, Dan Geer a ouvert la conférence Black Hat en déclarant que l'IoT est déjà sur nous et pourrait créer des problèmes.

Malgré tous mes efforts pour rester cynique, l'IdO se sent inévitable et convaincant. La science-fiction nous a promis de parler d’ordinateurs et d’appareils futuristes depuis des décennies, et c’est peut-être la raison pour laquelle Gartner a prédit que 6, 4 milliards d’appareils connectés à Internet d’ici 2020 seraient réalisables. Ces appareils sont déjà chez nous: boîtes de streaming, consoles de jeux, routeurs sans fil. Aux yeux des attaquants et des attaques automatisées, il ne s'agit que de plusieurs adresses IP à exploiter.

Alors que nous nous dirigeons vers les vacances et que nous nous dirigeons vers une nouvelle génération d'appareils IoT, plaçons au premier plan une sécurité conçue pour être comprise par les utilisateurs. Si, en 2020, le meilleur conseil que je puisse encore offrir aux gens est de débrancher leurs appareils intelligents, cette industrie ne mérite pas sa réputation d'innovation ou même d'intelligence.