Que ce soit les appareils que l'on porte sur soi, la domotique, les nouveaux appareils électroménager ou les appareils de loisirs, le nombre des gadgets électroniques connectés à "l'Internet des objets" est en train d'exploser. Et d'apporter son lot inédit de problèmes de sécurité. Pour la première fois, un réfrigérateur aurait été piraté récemment pour envoyer du spam.

Vous êtes-vous déjà demandé si votre future brosse à dents connectée ou votre pèse-personne Wifi étaient bien sécurisés ? Selon des estimations du cabinet IDC, 200 milliards d'objets seront connectés à Internet d'ici 2020. Or la firme Proofpoint, spécialisée dans la sécurisation des données, affirme que les hackers parviennent d'ores et déjà à en tirer profit pour l'envoi massif de malwares par courrier électronique.

La société assure en effet qu'elle a détecté, sur la seule période du 23 décembre 2013 au 6 janvier 2014, une campagne inédite d'envoi de 750 000 courriels malveillants envoyés à partir de plus de 100 000 gadgets électroniques en tous genres : téléviseurs connectés, media centers, NAS, consoles de jeux vidéo, routeurs, … et même "au moins un réfrigérateur".

A chaque fois, le nombre des e-mails envoyés par chaque appareil était restreint (pas plus d'une dizaine), mais l'attaque est devenue massive par le nombre des appareils formant ce que Proofpoint appelle un "Thingbot-net" , c'est-à-dire un "botnet" composé d'objets connectés.

La société explique que la plupart des objets connectés à Internet sont basés sur un serveur Linux embarqué, souvent Busybox, avec des serveurs web MiniHttpd ou Apache configurés par défaut. L'objet n'ayant pas d'interface visible et n'étant pas a priori sensible, le constructeur ne juge pas toujours utile de personnaliser le nom d'utilisateur et le mot de passe, et offre un accès libre au serveur. Un rêve pour les hackers, qui n'ont aucun effort à faire. Parfois, ce sont des versions anciennes des logiciels qui sont installées, et dont les correctifs de sécurité ne sont pas appliqués. Qui irait penser à sécuriser le serveur d'un un réfrigérateur connecté ?

"Beaucoup de ces objets ne sont au mieux que mal protégés, et les consommateurs n'ont quasiment aucune possibilité de détecter ou de corriger les infections quand elles se produisent", regrette Proofpoint. 

Chérie, on a piraté le frigo

"Les appareils connectés à Internet représentent une énorme menace parce qu'ils sont faciles à pénétrer, parce que les consommateurs n'ont que peu d'incitation à les rendre plus sûrs, parce que les appareils dont le nombre croît très rapidement peuvent envoyer des contenus malveillants en passant presque inaperçus, parce que peu de constructeurs prennent les mesures nécessaires pour protéger contre de telles menaces, et parce que le modèle actuel de sécurité ne permet pas de résoudre le problème", complète Michael Osterman, chercheur en sécurité, cité par le communiqué de Proofpoint.

L'objectif final de Proofpoint est bien sûr, en créant un début de psychose, de vendre sa propre solution anti-spam et anti-malwares destinée aux entreprises. Reste que la société a raison de s'inquiéter de la montée de ce phénomène, qui inquiète depuis longtemps les experts.

"Que se passera-t-il si quelqu'un piratera le réfrigérateur d'un autre et commandera 50 packs de lait ? Peut-être pensez-vous que ça n'est pas si grave ? Mais imaginez que toute votre maison soit connectée à internet et que des hackers parviennent à désactiver votre système de sécurité simplement en s'introduisant dans l'application dédiée", demandait l'an dernier Jochem Binst, de VASCO Data Security, dans le Huffington Post.

En novembre 2013, Symantec avait révélé la découverte d'un vers baptisé Linux.Darlloz, qui visait à exploiter une faille des serveurs PHP installés dans de nombreux objets connectés. La faille a été corrigée dès mai 2012, mais souvent aucun patch n'est appliqué (voire applicable) aux objets. "Ceux qui vendent des appareils avec des systèmes d'exploitation et des logiciels cachés, qui ont configuré leurs produits sans demander aux utilisateurs, ont compliqué les choses. De nombreux utilisateurs peuvent ne pas être conscients du fait qu'ils utilisent des appareils vulnérables dans leurs maisons ou leurs bureaux", dénonçait Symantec.

Partager sur les réseaux sociaux

Articles liés