Les piratages d’objets connectés se multiplient, avec des portes d’entrée toujours plus surprenantes

Les piratages d’objets connectés se multiplient, avec des portes d’entrée toujours plus surprenantes. Et cela ne fait que commencer…


Il y a une règle en cybersécurité : la question n’est pas de savoir si vous vous ferez attaquer un jour, mais quand aura lieu cette attaque. Et avec l’essor des objets connectés, souvent vulnérables, les hackers ont de quoi imaginer de nouvelles formes de cyberattaques disons… surprenantes.


Pompes à essence, imprimantes, ampoules...


Vous êtes-vous déjà méfié de votre souris d’ordinateur, de votre frigo, d’un babyphone ou encore d’un… thermomètre d’aquarium ? A priori non. Eh bien vous devriez, car il s’agit de nouvelles portes d’entrée pour des cyber-attaquants. Et en la matière, l'ingéniosité des hackers n’a pas fini de surprendre.

Dans un rapport publié le 10 septembre dernier, Trend Micro analyse des places de marché du dark web. Surprise : les pompes à essence connectées ont la cote, surtout chez les hackers russes qui s’échangent tutos et tuyaux sur le fonctionnement de ces pompes. Un phénomène loin d’être anodin. En 2015, Trend Micro prophétisait déjà que les pompes à essence connectées seraient des cibles parfaites pour les hackers... « Il y a un certain nombre de scénarios qui pourraient éventuellement se concrétiser. Cela comprend la reconnaissance pour connaître le calendrier de livraison, l’extorsion consistant à bloquer l’accès du propriétaire en échange d’une certaine somme, et même le sabotage de la pompe à essence en ajustant les limites du réservoir pour qu’il déborde », a déclaré Bharat Mistry, stratégiste principal de sécurité chez Trend Micro à ZDNet.com.

En août, Microsoft a alerté sur de nouvelles attaques de hackers russes : pour infiltrer les entreprises, ils ciblaient « des objets connectés populaires », comme « un téléphone VoIP [des téléphones connectés à internet qui sont devenus très répandus, NdlR], une imprimante de bureau et un décodeur vidéo. » Mais il y a encore plus surprenant : le piratage… d’ampoules. Une équipe de chercheurs en sécurité informatique a ainsi réussi à prendre le contrôle d'ampoules connectées Philips Hue. Alors dit comme ça, on peut s’interroger sur la portée d’un tel piratage (serait-ce pour communiquer en morse avec l’immeuble d’en face ?) mais en réalité, ce piratage sert de porte d'entrée pour accéder aux données des autres appareils reliés au même réseau.


Piratage virtuel, conséquences réelles


Le résultat de l'expérience, relayée par le New York Times, est visible dans l'une des vidéos réalisées par l'équipe, qui avait pré-installé des ampoules sur un immeuble en Israël.

« À première vue, rien d’extraordinaire, écrit le quotidien américain, mais imaginez des milliers ou même des centaines de milliers d’objets connectés à proximité les uns des autres. Un programme malveillant créé par des hackers peut alors se répandre parmi ces objets en compromettant l’un d’entre eux, tel un agent pathogène. » Avec des conséquences bien réelles. Ces chercheurs ont été en mesure d'accéder aux données et même de contrôler tous les autres objets connectés à ce même réseau Wi-Fi.

De même, des chercheurs de l’Université de Princeton ont testé un scénario d’attaque dans lequel des hackers prennent le contrôle d’appareils énergivores afin de déstabiliser le réseau électrique. Résultat : d’après cette étude, 42 000 chauffe-eaux électriques suffiraient à couper 86 % du réseau électrique polonais. Ça jette un froid.


Quand le frigo participe à une attaque DDoS sans le savoir


Loin d’être anodins, les objets connectés qui prolifèrent depuis quelques années représentent aujourd’hui un enjeu de cybersécurité à part entière, comme l’explique Hervé Ysnel, vice-président en charge des activités cybersécurité pour CGI Business Consulting. « Tous les équipements que l’on connaissait, qui avaient une électronique plutôt basique, basculent dans le monde de l’informatique et de l’accès à internet pour apporter plus de services, plus d’interactivité, plus d’intelligence. Et la technologie va souvent plus vite que la cybersécurité. L’IoT a pris un essor rapide sans prendre conscience des risques potentiels. »

Ces risques ne concernent pas nécessairement le propriétaire de l’objet connecté piraté. « Souvent, les équipements IoT sont utilisés pour réaliser des attaques indirectes. Si vous avez un réfrigérateur connecté, il peut très bien continuer de fonctionner tout en étant contrôlé par un hacker pour faire tomber d’autres serveurs ailleurs. Et vous n’en avez pas conscience, souligne ainsi Hervé Ysnel. Une attaque réussie, c’est celle qu’on ne perçoit pas. » En clair, n’importe lequel de vos objets connectés peut participer à une attaque par déni de service, en saturant d’autres équipements et les rendant indisponibles.


La maison connectée permettra peut-être à vos proches de vous épier


Surtout, les objets connectés sont souvent très présents dans les foyers. Et là, c’est la sphère personnelle qui peut être violée, à l’image de ce couple d’américains dont la maison connectée a été hackée. La question de la protection et de la gouvernance des données personnelles est au cœur des enjeux des IoT, surtout lorsqu’il s’agit d’objets partageant notre intimité quotidienne. En clair : les IoT menacent-ils notre vie privée ? C’est justement sur ce point que la chercheuse Laurence Devillers sensibilise le grand public. Il y a quelques années, elle a imaginé un scénario qui se déroule en 2025 dans lequel un homme, Igor, voit sa vie privée connue de tous ses proches à cause des objets connectés :

« Igor va au frigo et prend une coupe de champagne. Or, Igor est diabétique, il a une puce sous cutanée. Celle-ci envoie son taux de glycémie à son frère, qui l’appelle aussitôt pour le sermonner. Igor l’envoie balader et prend une seconde coupe de champagne. Il se dit que désormais, sa voiture ne va pas répondre et effectivement, lorsqu’il essaie de l’ouvrir, elle ne répond pas, ce qui signifie que son assureur est au courant qu’il a bu. Il revient chez lui et le majordome, un robot, vient le prévenir que les sushis sont arrivés, et ajoute “quand on boit, il faut manger.” Donc lui aussi est au courant. Arrive alors sa femme, mécontente, car elle aussi est au courant. Le majordome revient vers Igor et ajoute : “Vous savez monsieur, cela fait trois fois que vous buvez seul cette semaine. J’ai pris rendez-vous avec votre médecin demain matin à 9h”. Qui a cafté ? Peut-être l’aspirateur, parce que lui aussi est connecté. »


Un enjeu d'avenir


Inutile de jeter votre aspirateur connecté ou d’envisager de vivre dans une cabane en bois, les experts en cybersécurité ont fait de la sécurisation des IoT et de la protection de nos vies privées une priorité des années à venir.


Pour se protéger, il faut bien sûr avoir une bonne hygiène numérique (faire des mises à jour régulières, prendre un mot de passe robuste et en changer régulièrement, suivre le mode d’emploi et les recommandations constructeur en matière de configuration…), mais pas seulement. Pour Hervé Ysnel, un grand pas consisterait à généraliser la sécurité par défaut. « Tous ces équipements permettent une protection, mais elle doit généralement être mise en route ou installée par l’utilisateur, ce qui suppose d’avoir certaines connaissances, compétences ou le temps. Donc la protection n’est pas toujours activée. Avec le principe de sécurité par défaut, la configuration de base de l’équipement permet d’assurer une protection de façon native. » Et contribue à assurer plus d’égalité devant le risque numérique.
 

Par Malick ALASSANE