Bilan des attaques IoT en 2016

Filtrer par catégorie :

16 Janvier 2017 by Julia Juvigny
bilan_attaques_iot_2016
Les failles de sécurité des serrures, des voitures, ou encore des pompes à insuline connectées ont été à l’origine de nombreuses cyberattaques en 2016 visant l’écosystème de l’Internet des objets. Tous les secteurs sont concernés, à l’image du piratage d’une centrale nucléaire allemande en avril 20161. Si les installations critiques telles que les réacteurs n’ont pas été mises en péril, dix-huit postes de travail ont tout de même été exposés à différents malwares (W32.Ramnit et Conficker). Les stratégies d’attaques toujours plus sophistiquées des criminels conjuguées à la démocratisation du Malware-as-a-Service dressent un bilan plus que déficitaire de la sécurité de l’Internet des objets que nous exposons dans le présent article.

 

On ne badine pas avec les botnets IoT

Pour les experts en sécurité, ce fut sans nul doute l’une des attaques majeures de 2016.  Les  attaques par déni de service ont pris une nouvelle dimension pour le moins inquiétante. En septembre 2016, le blog du journaliste Brian Krebs, spécialiste en cybersécurité,  est  ciblé  par une attaque record atteignant un débit de 620 Gb/s2. Le même mois, c'est l'hébergeur français OVH qui est  visé, avec une puissance de frappe estimée à 1,5 Tb/s. L'attaque contre Dyn, survenue un mois plus tard, est montée d'un cran puisque de nombreux sites internet ont été complètement paralysés pendant plusieurs heures3. Enfin, en novembre, 2016, 900.000 boxes Internet de l’opérateur Deutsche Telecom ont été piratées4. Le point commun de toutes ces cyberattaques ? Mirai, l’un des malwares les plus dangereux de sa génération, considéré par certains spécialistes comme « l’Etoile noire » des botnets5. Une menace d’autant plus préoccupante que son code source est désormais disponible en ligne. Plutôt que de pirater de simples ordinateurs, les criminels se tournent vers ces machines aisément piratables et disponibles en très grand nombre sur la toile. Une webcam ou un lecteur de DVD peut désormais faire partie de l’arsenal d’une cyberarmée de zombies exploitant l’Internet des Objets.

 

Les ransomwares et l’Internet des objets, une union consommée

3 860 603. C’est le nombre total de ransomwares identifiés par le laboratoire de recherche McAfee pour l’année 20166. Pas étonnant lorsqu’on sait que toutes les 40 secondes dans le monde une victime est touchée par un ransomware7… Au-delà de leur impressionnante croissance cette année, les ransomwares ont connu des avancées techniques remarquables. Outre le  chiffrement partiel ou total des fichiers présents sur l’ordinateur  comme c’est le cas pour Locky, les criminels utilisent également des kits d’exploits plus sophistiqués, tels que les prestations de Ransomwares-as-a-Service. Ces logiciels sont disponibles gratuitement et exploitables par toute personne ayant des notions de base pour adapter le code existant. Si les criminels ont concentré leurs efforts dans le domaine de la santé, particulièrement sensible et rentable comme en témoigne la série d’attaque menée contre des hôpitaux américains et canadiens8, les ransomwares commencent petit à petit à conquérir du terrain au sein de l’écosystème de l’Internet des objets. Après la démonstration de piratage d’un thermostat connecté par deux chercheurs à la DEF CON, une télévision connectée a été prise en otage9. Une nouvelle tendance pourrait ainsi émerger à l’horizon 2017 : le Ransomware of Things ou RoT10.


 

Détournement d’objets connectés : l’IoT au service de la cybercriminalité 

Les nombreux cas de piratages de l’année 2016 témoignent d’une explosion de la cybercriminalité contre les objets connectés. Le paradigme de l’innovation supplante celui de la sécurisation : la volonté des industriels de faire la course aux parts de marché avec de très courts « time-to-market » ne fait qu'entretenir cette situation dangereuse. De la prise de contrôle de voitures connectées en cassant le mot de passe Wi-Fi11 aux diagnostics de vulnérabilités au sein de serrures connectées (mots de passe par défaut par exemple), le manque de sécurité des objets connectés ouvre la porte aux cybercriminels. Même les systèmes industriels ne sont pas en reste. Le 24 mars 2016, le département de Justice américain jugeait un criminel iranien qui avait réussi à lancer une cyberattaque contre le barrage de Bowman Dam situé dans l’état de New York. Le  criminel avait réussi à obtenir des informations précises sur la position des écluses (ouvertes ou fermées) contrôlant le niveau et le débit d’eau du barrage. Cette cyberattaque aurait pu provoquer une inondation catastrophique12.  En décembre 2016, l’Ukraine a de nouveau été victime d’une cyberattaque contre l’une de ses infrastructures SCADA13.


 

Conclusion

L'actualité 2016 a été régulièrement ponctuée de cyberattaques à l'ampleur toujours plus importante mettant en cause les objets connectés. Si certains cybercriminels cherchent directement à exploiter les données et les fonctionnalités des solutions connectées, le grand volume d’objets compromis a également permis de mener des attaques d’une ampleur inégalée. Ainsi, les botnets de caméras connectées ont été utilisés pour mener les plus importants dénis de service distribués (DDoS) connus à ce jour. Outre l’utilisation de la grande masse d’objets disponibles par les pirates, l’une des nouvelles menaces qui est apparue cette année est le Ransomware of Things. On peut parier qu’en 2017 ces types d’attaques contre des objets connectés persisteront, voire même augmenteront. Dans ce contexte, il est impératif que les industriels, les entreprises et les régulateurs se saisissent rapidement de la question. En complément d’une démarche d’intégration de la sécurité by design, que tout industriel devrait mettre en place, les normes et les labels en cours d’élaboration permettront d’identifier et d’unifier les bonnes pratiques de sécurité au niveau international. C’est dans ce contexte qu’est né le label de sécurité IoT de Digital Security14. Fruit de dix-huit mois de travaux de R&D, ce label accompagnera les entreprises et leurs clients dans le développement et l’utilisation sereine de leurs applications et services innovants.


                         
1 http://www.lepoint.fr/societe/une-centrale-nucleaire-allemande-victime-d-une-cyberattaque-29-04-2016-2035939_23.php
2 https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
3 http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/
4 http://securityaffairs.co/wordpress/53871/iot/deutsche-telekom-hack.html
5 http://www.silicon.fr/ddos-menace-moins-en-moins-fantome-165707.html
6 http://www.globalsecuritymag.fr/Intel-Security-revient-sur-l,20161215,67758.html
7 http://www.itforbusiness.fr/thematiques/securite/item/8477-les-attaques-de-ransomware-ont-triple-en-moins-d-un-an
8 http://www.latimes.com/business/technology/la-me-ln-hollywood-hospital-bitcoin-20160217-story.html
9 http://www.numerama.com/tech/221087-un-ransomware-desactive-un-televiseur-connecte-lg.html
10 https://www.globalsecuritymag.fr/Benoit-Grunemwald-ESET-2017-l,20170102,67978.html
11 https://www.lediligent.com/2016/06/06/pour-desactiver-lalarme-dune-mitsubishi-outlander-hybride-il-suffit-de-se-connecter-a-son-point-dacces-wi-fi/
12 http://www.ouest-france.fr/monde/etats-unis/un-barrage-pres-de-new-york-ete-controle-par-des-hackers-iraniens-4118218
13 http://www.silicon.fr/nouveau-blackout-ukraine-cyberattaque-165628.html
14 https://www.digitalsecurity.fr