On ne sait toujours pas qui a exécuté et commandité la puissante cyberattaque qui a paralysé une partie du Web, principalement aux Etats-Unis, vendredi 21 octobre. Des détails ont cependant émergé sur le mode opératoire : une partie du déluge de connexions qui ont mis à genou certains des plus importants sites au monde provenait d’un réseau d’objets connectés piratés.

Lire aussi : Une attaque informatique majeure a paralysé une partie du Web pendant plusieurs heures

Selon Dyn, l’entreprise visée par l’attaque, des « dizaines de millions » d’objets ont été détournés de leur fonction première pour saturer son infrastructure, un constat corroboré lundi 24 octobre par le ministre américain de la sécurité intérieure, Jeh Johnson. Dyn fait partie des entreprises fournissant du DNS (Domain Name System), un service crucial pour le bon fonctionnement du Web : il transforme un nom de domaine (www.siteweb.fr) en instructions techniques qui permet de se connecter au site désiré. Sans cet aiguillage, certains sites sont inaccessibles, même s’ils ne sont pas directement attaqués. L’attaque du 21 octobre était une attaque dite de « déni de service » : en saturant artificiellement les infrastructures de Dyn, les pirates ont réussi à rendre une partie du Web difficile, voire impossible, à atteindre.

Après que l’on a accusé ses produits – des caméras connectées et des enregistreurs numériques – d’avoir fourni le gros de cette cohorte d’objets « zombies », le fabricant chinois XiongMai a annoncé le rappel de certains de ses produits vendus aux Etats-Unis et le renforcement de leurs protections.

Failles béantes

Le directeur de la stratégie de Dyn et les chercheurs de l’entreprise spécialisée Flashpoint ont indiqué qu’une partie des objets connectés impliqués dans l’attaque étaient pilotés par Mirai, un logiciel malveillant déjà utilisé pour mener plusieurs attaques d’ampleur ces dernières semaines. Cet outil profite de failles béantes présentes dans certains objets connectés – la plupart du temps, le simple fait que le mot de passe, identique et défini lors de la fabrication n’a pas été changé – pour s’y introduire.

Une fois infecté, l’objet peut être commandé à distance pour envoyer des instructions vers un site : à raison de plusieurs centaines de milliers d’objets en simultané, c’est suffisant pour bloquer des infrastructures extrêmement robustes. Ce logiciel malveillant dispose par ailleurs de la faculté de se propager de manière autonome à des objets connectés aux vulnérabilités similaires. Comme si cela ne suffisait pas, l’auteur originel de ce logiciel a publié le code source de son outil sur Internet, permettant à n’importe qui de s’en inspirer et d’en répliquer le fonctionnement.

Lire aussi : Le code source d’un puissant programme d’attaques informatiques rendu public

Intelligents mais dangereux

Cela fait maintenant des années que les experts en sécurité informatique s’inquiètent de voir se multiplier des objets connectés aux défenses informatiques quasiment inexistantes, comme autant de petits soldats pouvant être enrôlés dans des attaques d’ampleur. Dans l’esprit des fabricants d’équipements, connecter un objet à Internet a le mérite de le rendre intelligent. Nombreux sont ceux qui semblent avoir oublié que cela le rend également dangereux : de nombreuses entreprises continuent de fabriquer et de vendre des appareils dont les mots de passe d’accès sont connus de tous. Selon les chercheurs de Flashpoint, un demi-million d’appareils divers et variés comportant des failles informatiques majeures sont actuellement connectés à Internet et vulnérables.

La sécurité n’est certes pas le cœur de métier d’un fabricant de frigo ou de thermostat. Mais les attaques menées grâce à leurs produits exercent un pouvoir de nuisance considérable et croissant. En théorie, les utilisateurs pourraient être aussi à blâmer pour ne pas avoir changé le mot de passe par défaut de leurs appareils : mais, dans certains cas, le mot de passe n’est pas modifiable sans de complexes manœuvres techniques. Comment sortir de l’impasse ? Les autorités peinent pour le moment à s’emparer de ce sujet.

Le 10 octobre dernier, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) français, qui dépend du secrétariat général de la défense nationale recommandait « la plus grande prudence lors de l’installation d’objets connectés sur Internet » :

« Les logiciels embarqués dans ces objets [connectés] peuvent contenir des vulnérabilités, ou présenter des défauts de configuration permettant d’en prendre le contrôle. Si ces objets sont connectés directement sur Internet, ils peuvent représenter des cibles faciles pour des attaquants qui pourront les utiliser […] comme vecteur d’attaque. »

Un système de labellisation, sur le modèle de celui qui existe pour mesurer la consommation énergétique des appareils ménagers, aurait, selon le site Euractiv, les faveurs de la Commission européenne pour mettre en valeur les objets les mieux sécurisés.

D’ici là, et faute d’une réforme en profondeur, des millions d’appareils intelligents mais dangereux se retrouveront sur le marché, et l’attaque qui s’est abattue vendredi sur le Web américain ne sera que la première d’une longue série.