Oct 26, 2016
  • Vous n’avez sûrement pas échappé à l’actualité cyber-criminelle de ces derniers jours. Vendredi dernier, de nombreux sites Web ont été rendus inaccessibles ou ont connu des délais de chargement anormalement longs, suite à une attaque DDoS (dénis de service). Plusieurs centaines de milliers d'objets connectés ont sonné le glas du service de résolution de noms DynDNS et paralysé Github, Playstation, eBay, Netlfix, Twitter, et bien d’autres...

    Alors, doit-on craindre l’invasion d’une armée d’objets connectés “zombies” ? Comment les entreprises peuvent-elles réagir et se prémunir de ces attaques compte-tenu du nombre grandissant d’objets connectés ? Analyse de cette menace qui risque d’être de plus en plus fréquente.

  • Wanted : MIRAI et son armée d'objets connectés

    En partie à l’origine de l’attaque, un malware nommé MIRAI a pris le contrôle d’objets connectés via des protocoles non-sécurisés tels que Telnet et a profité des vulnérabilités dans la configuration des systèmes (mots de passe triviaux comme admin/admin).

    Pourtant, cette attaque de grande ampleur n'est pas la première du genre. En septembre 2016, le même malware était à l’origine de l’attaque DDoS de Botnets contre le site de Krebs on Security et contre OVH avec près de 150 000 caméras de surveillance piratées pour envoyer plus d’1Tb de données par seconde.

    Le succès des attaques de MIRAI repose donc sur deux points :

    • La compromission des objets connectés, de plus en plus nombreux puisqu’on estime qu’ils seront 50 milliards dans le monde d’ici à 2020
    • L’utilisation par Dyn de Bind (le plus populaire des services de DNS, qui, contrairement à ses alternatives, est très lent dans la gestion des requêtes et donc saturé plus rapidement par les DDoS).
  • Déconnecter les objets connectés ?

    Certains objets connectés impliquent de forts enjeux de sécurité de manière évidente. C’est notamment le cas des véhicules, pour lesquels nous avons mené une réflexion avec Bureau Veritas. Le guide de la cyber sécurité automobile conseille les organisations quant aux mesures nécessaires pour améliorer la sécurité pendant toute la durée de vie des véhicules.

    Des bonnes pratiques dont devraient également s’inspirer les fabricants d’objets connectés de notre quotidien, même si cela paraît pour le moins utopique ! En effet, un objet connecté anodin, dès lors qu’il est présent en masse, peut lui aussi représenter un enjeu de sécurité majeur. La différence par rapport aux objets connectés vitaux, est que cet enjeu s’applique aux tiers et non aux usagers ou aux propriétaires. Il est donc important de renforcer la  sécurité dès la conception des objets mais aussi de limiter et de surveiller les flux autorisés depuis ces derniers.

  • Se protéger des risques

    Les cyber-attaques représentent un risque qu’on ne peut plus ignorer aujourd’hui et vont certainement continuer à harceler nos organisations. Ce genre d’attaque peut impacter les utilisateurs à très grande échelle : comme l’explique Atlantico, "les câbles sous-marins sont également très sollicités par le trafic quotidien. Ce qui veut dire que, grâce à ces nouveaux dénis de services XXL, nous avons atteint un point où les attaques peuvent bloquer des pays entiers."

    Alors, à défaut d’investir dans des bitcoins pour payer une éventuelle rançon comme le font certaines banques anglo-saxonnes, les organisations doivent se protéger d’une interruption partielle ou totale de service et des impacts (notamment financiers) qui en découlent. Pour cela, il faut prendre des mesures, par exemple :  

    • Mettre en place des infrastructures résilientes et souscrire à des contrats de service “anti DDoS” auprès des opérateurs,
    • Maîtriser parfaitement sa gestion de crise (notamment au travers d’exercices),
    • Souscrire une cyber assurance.
  • Cette cyber-attaque est malheureusement loin d’être un cas isolé. Les objets connectés simplifient notre quotidien mais initient de nombreuses réflexions quant à la cyber-sécurité. N’hésitez pas à interagir avec nos experts sur les réseaux sociaux pour en parler !