Dimanche 24 février 2019, à la veille du Mobile World Congress (MWC), Martin Hron, Vladislav Iliushin, Libor Bakajsa et Anna Shirokova, chercheurs en sécurité chez Avast, ont lancé un projet : le déploiement de 500 honeypots dans 10 pays pendant toute la durée du salon (soit quatre jours), et au-delà. Le but était de comptabiliser le nombre de tentatives de connexion malveillantes effectuées vers ces honeypots. Ces derniers ont été délibérément mis en place avec des ports ouverts, que l’on trouve généralement dans les appareils connectés à Internet, laissant ainsi penser aux potentiels attaquants qui les scannaient qu’ils se connectaient à de vrais routeurs, téléviseurs intelligents, caméras de sécurité, ou autres appareils connectés. Les résultats obtenus ont été pires qu’escomptés.
Alors que le MWC touchait à sa fin, 23,2 millions de tentatives de connexion à ces honeypots ont été enregistrées par l’équipe. En d’autres termes, parmi les 500 dispositifs factices de type IoT installés sur Internet, 23,2 millions d’attaques potentielles ont été perpétrées par d’éventuels cybercriminels, soit 11 588 tentatives de connexion par appareil et par jour. Les trois ports qui ont le plus souvent été scannés sont ceux que l’on trouve habituellement dans les périphériques de streaming Chromecast et les Google Smart Home Speakers (port 8 088), ainsi que le port 22 Telnet et le port 23 SSH qui sont souvent présents dans les routeurs. Les dispositifs de streaming figurent parmi les plus répandus et les plus vulnérables dans les foyers, d’après les dernières recherches d’Avast. La sécurité des routeurs est également préoccupante : sur les 11 millions analysés en septembre 2018, 60 % présentaient soit des informations d’identification faibles, soit des vulnérabilités logicielles.
Alors, d’où viennent ces attaques potentielles contre ces leurres, et qui en étaient les cibles ? D’après les données, les trois pays les plus « attaqués » étaient l’Irlande (218 851 connexions), l’Allemagne (162 868 connexions) et les États-Unis (159 532 connexions), tandis que les trois pays les plus agressifs en termes de scans étaient les États-Unis, la Chine et la France.
Toutefois, la responsabilité en matière de cybersécurité est rarement claire. Les technologies telles que les réseaux privés virtuels (VPN), le tristement célèbre réseau TOR, ou les connexions proxy via un dispositif déjà infecté sont des techniques souvent utilisées par les attaquants pour masquer leur origine. Cela étant, durant ces quatre jours, le plus grand nombre d’attaques recensées provenaient de serveurs situés aux États-Unis, en Chine et aux Pays-Bas.
Être ou ne pas être une cible : telle est la question
Le rôle d’un honeypot est de détecter les activités cybercriminelles et d’examiner leurs méthodes d’attaque. Ils existent pour tromper les attaquants en leur faisant croire que les dispositifs qu’ils ciblent sont réels et contiennent de vraies données. Mais que se passerait-il si ces dispositifs n’étaient pas des leurres, mais un vrai routeur domestique ou un assistant intelligent, scanné près de 12 000 fois par jour, à la recherche d’éventuelles vulnérabilités ?
La force d’un réseau domestique est définie par son élément le plus faible, et plus le nombre d’appareils intelligents connectés à un réseau augmente, plus celui-ci s’affaiblit. Si 23,2 millions d’attaques potentielles ont été effectuées sur 500 dispositifs factices de type IoT en quatre jours, on peut imaginer le volume auquel il est possible de s’attendre l’année prochaine, lorsque l’écosystème IoT mondial sera constitué de 38,5 milliards de dispositifs intelligents authentiques. Si l’on prend le nombre moyen de connexions qui ont été effectuées à un seul honeypot sur une journée lors du MWC, et que l’on extrapole ce nombre au nombre total d’installations de dispositifs IoT prévues l’année prochaine, cela équivaudrait à plus de 446 billions de tentatives de connexions dans le monde sur 24 heures, puisque ces dispositifs restent accessibles publiquement via Internet. Il s’agit, bien sûr, d’un scénario extrême, mais c’est une indication claire que nous approchons d’une épidémie en matière de cybersécurité.
D’après l’Institut Ponemon, la probabilité de subir une cyberattaque est d’une sur quatre. En comparaison, pour un simple lancer de dé, la probabilité d’obtenir n’importe quelle valeur est exactement d’une sur six. Pourquoi alors cette apathie à l’égard de la cybersécurité, quand les statistiques sont de plus en plus pessimistes en ce qui concerne la sécurité de nos données personnelles ? Le problème est en partie « émotionnel ». La plupart des utilisateurs pensent qu’il importe peu que leur téléviseur intelligent, leur enceinte ou leur ampoule connectées soient vulnérables, car ils ne se considèrent pas comme une cible. Après tout, pourquoi un cybercriminel s’intéresserait-il aux émissions qu’ils regardent, à la musique qu’ils écoutent, ou à la fréquence à laquelle ils allument leurs lumières ? C’est un argument plutôt logique, pour qui n’appréhende pas la situation dans son ensemble. Imaginons toutefois qu’un attaquant compromette une cafetière se trouvant sur le même réseau qu’une enceinte connectée et qu’un assistant intelligent. En supposant qu’il suffit d’un seul appareil piraté pour prendre le contrôle de tout un réseau domestique, la machine à café pourrait être utilisée comme vecteur permettant d’accéder à l’enceinte, et d’émettre des commandes vocales pour passer des commandes sur un compte personnel, débitant potentiellement la carte bancaire qui y est associée.
Des contre-mesures efficaces
Aussi dystopique que puisse paraître ce scénario, il n’en reste pas moins crédible. Des exemples réels de malwares IoT ont ainsi infecté près d’un million de routeurs de Deutsche Telecom, coupant les connexions Internet de ses clients. De nombreuses autres variantes du même malware, connu sous le nom de Mirai, ont été utilisées pour lancer des attaques par déni de service distribué (DDos) sur des domaines de sites Internet populaires, ou pour exploiter la puissance de calcul des dispositifs IoT en vue de miner des cryptomonnaies.
Malgré l’augmentation du nombre d’attaquants cherchant à surfer sur la vague d’insécurité de l’IoT et l’afflux de scans malveillants qui s’ensuit pour identifier les maillons les plus faibles de la chaîne, il est cependant possible de réduire les menaces grâce à une hygiène numérique de base.
De la même manière qu’un virus peut être évité en se désinfectant régulièrement les mains, un virus IoT peut être arrêté par des mesures tout aussi élémentaires, telle que la définition de mots de passe forts et uniques, excluant les informations personnelles, pour les routeurs, appareils Wi-Fi et IoT.
Par ailleurs, la mise à jour du firmware du routeur et des dispositifs d’IoT, lorsqu’elle est disponible, est vitale. Les mises à jour contiennent souvent des correctifs aux vulnérabilités, sécurisent les périphériques et empêchent les cybercriminels d’y accéder. En outre, avant l’achat d’un appareil, il est bon de vérifier la disponibilité des correctifs de sécurité logiciels sur le site Internet du fournisseur. Si ce dernier ne fournit pas de correctifs, ou ne l’a pas fait depuis plusieurs années, il est très probable que l’appareil concerné soit vulnérable.
L’observation régulière de ces pratiques, combinée à une vigilance accrue, contribue à la réduction radicale des risques d’être victime de la cybercriminalité.
Crédit photos : DR
[cc] Breizh-info.com, 2019, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine