Nous y voilà : le térabit par seconde est terrassé ! Le bit par seconde est l’unité de mesure des attaques en déni de service, le débit des messages auquel le site attaqué se trouve confronté. Le précédant record contre la BBC du mois de janvier 2016 se « contentait » de six cents gigabit par seconde. Les messages sont envoyés par des machines dont le contrôle a été pris par les attaquants. OVH a pu identifier lors de l’attaque de cette semaine 145.607 caméras de surveillance parmi les objets réunis en botnet.
Les objets connectés ont leur moteur de recherche, Shodan. Les caméras bénéficient même d’un traitement de faveur avec le site insecam.org qui diffuse les images des caméras insuffisamment protégées. Ne vous précipitez pas sur le navigateur voyeur. Le spectacle est plutôt insipide, il ne se passe rien. Des études sociologiques confirmeront-elles une première impression à savoir que les yeux connectés semblent se focaliser avant tout sur … la voiture ?
Depuis quelques temps déjà, nous étions prévenus : les objets connectés cumulent les particularités d’être largement diffusés et très peu protégés. Au cours de la conférence « Hack in the Box » d’avril 2013 – il y a plus de trois ans - Sergey Shekyan et Artem Haruthunya de la société Qualys avaient établi que vingt pour cent des cent mille caméras identifiées étaient accessibles sans mot de passe, l’identifiant étant « admin ». Et lorsque le mot de passe apparait c’est bien souvent « 1234 ». Sur un plan strictement fonctionnel, une caméra accouplée à une sonnette ou un réfrigérateur s’accommodent probablement d’un faible niveau de protection. On a bien surpris des « BabyPhones » s’appuyant sur le Wifi familial diffuser des messages oraux de hackers ou des montres connectées bien bavardes sur les données personnelles.
Le problème est qu’aussi anodins soient-ils ces objets sont avant tout des ordinateurs connectés en permanence à Internet. Même si leur fonction devait les apparenter à des jouets ou des gadgets dont le prix de marché est strictement contraint, faire l’impasse sur la sécurité et ce qu’elle suppose de mises à jour, de procédures et de lignes de code est lourd de conséquences. Cette prise de conscience concerne autant les équipementiers lors de la conception que les utilisateurs dans la vie courante.
Les objets connectés, combien de divisions ? Vingt milliards d’unités dans moins de trois ans ? Heula, gageons que le record d’OVH ne tiendra pas longtemps !
Ajouter un commentaire