Les caméras de surveillance font depuis longtemps sensation dans la révolution domotique des maisons et entreprises connectées en continu. Après tout, la possibilité de savoir ce qui se passe chez soi, grâce à un objet connecté peu coûteux, est une proposition qui en séduit plus d’un. Mais qui nous surveille ? Les chercheurs ont démontré que vous n’êtes pas le seul à surveiller l’activité de votre caméra : les pirates aussi.
Un chiffre « simplement intéressant » ? Pas tout à fait.
La sécurité est l’une des applications les plus populaires des objets connectés, à commencer par les caméras en domotique. Gartner, l’un des plus grands cabinets de conseil et d’étude, estime que le nombre total d’objets connectés pourrait atteindre 8,4 milliards en 2017, une montée en flèche de 31 % par rapport à 2016. Cela signifie que le nombre de ces appareils dépasse de loin le nombre d’êtres humains sur notre planète (7,5 milliards) : un chiffre qui en dit long.
Peu sécurisé par nature
Un nombre considérable d’objets de l’IoT ou objets connectés – y compris les caméras de surveillance – sont par nature peu sécurisés. Il n’est pas forcément possible de renforcer leur sécurité car ils ont été conçus avec des noms de compte et des mots de passe codés en dur qui ne peuvent être modifiés. Cette approche transforme la « sécurité » en une vaste faille qui n’attend qu’à être exploitée. De nombreux appareils oublient également la pratique de sécurité de base qui consiste à inviter l’utilisateur à modifier les paramètres lorsqu’il utilise l’appareil pour la première fois. Et même lorsqu’il est possible de modifier les mots de passe, les gens préfèrent ne pas le faire. C’est comme modifier vos paramètres WiFi : même lorsqu’on vous donne le choix, vous n’avez pas envie de vous y atteler.
C’est la catastrophe
Des chercheurs avaient déjà constaté plusieurs cas de caméras de surveillance connectées spécifiques ayant été piratées ou sabotées. Avant, ils étaient des cas généralement isolés, concernant un appareil spécifique ou un réseau en particulier.
Le lancement de Mirai en 2016 a radicalement changé la situation. Ce malware scanne Internet pour trouver des appareils connectés qui sont uniquement « protégés » par les paramètres par défaut. Une fois qu’il a trouvé ces appareils, ceux-ci sont enrôlés dans un botnet et prêts à exécuter les ordres d’un chef suprême très mal intentionné. Comme l’explique KrebsonSecurity, la « liste de cibles » de ce botnet comprend près de soixante-dix combinaisons d’identifiants et de mots de passe utilisés par les fabricants. Certaines entreprises utilisent les mêmes paramètres par défaut pour toute leur gamme de produits.
Monsieur, c’est quoi un DDoS ?
En général, Internet fonctionne comme une salle de classe : un élève pose une question, le professeur répond. Quand beaucoup d’élèves ont des questions, ils doivent attendre leur tour, et le rythme ralentit un peu. Mais dans le cas d’une attaque par déni de service distribué (DDoS) avec Mirai, c’est comme si le grand chef suprême prenait un stade rempli d’objets connectés et leur ordonnait de harceler le professeur de requêtes incessantes jusqu’à ce que le professeur ou que l’école n’en puisse plus et jette l’éponge.
Mirai donne à Internet une bonne leçon
Après avoir enrôlé des milliers, voire des millions d’objets connectés dans son botnet, Mirai a lancé la plus vaste attaque DDoS jamais vue dans l’histoire d’Internet. En octobre 2016, l’attaque contre Dyn a perturbé l’accès à Internet dans la majeure partie des États-Unis. Elle a peut-être aussi engagé la responsabilité de certains fournisseurs d’accès à Internet lorsque Dyn a découvert que certains hébergeaient les appareils de ce botnet. Qu’en est-il pour les particuliers qui possédaient ces appareils piratés ? Nous ne savons pas encore ce qu’impliquerait une multiplication de ces attaques. Les FAI envisageront-ils de pénaliser leurs clients pour les méfaits commis par leurs appareils ?
La sécurité commence à la maison
Le premier paradoxe lié à l’attaque Dyn est qu’elle a été causée en grande partie par de petits appareils domotiques non sécurisés comme les caméras de surveillance. Le second est qu’il est quasiment impossible pour un utilisateur de savoir si ses appareils sont sécurisés ou s’ils ont été enrôlés dans une armée de botnet. À l’heure actuelle, le seul moyen de le savoir est de faire une recherche en ligne sur les problèmes liés à un modèle ou à un fabricant en particulier. Dans le cas des appareils en marque propre – conçus par un fabricant et vendus sous une variété de noms de marques – la vraie identité peut être profondément cachée sous le capot.
Alors soyez attentif lors de votre prochain achat d’appareil connecté. Avez-vous pensé à sécuriser le réseau, et pas seulement à y connecter des appareils ? Après tout, qui voudrait que sa nouvelle caméra soit prise en flagrant délit dans le lancement de la prochaine grande attaque DDoS de l’Histoire ?