Si l’internet des objets (IdO) continue d’intéresser les développeurs, mais également le grand public, les spécialistes en sécurité ont prévenu qu’IdO pourrait rimer avec menace. Parmi ces prophètes, Eugène Kaspersky, le fondateur de l’éditeur de la solution antivirus portant son nom, avait prévenu devant les caméras de la NBC Télévision que ces objets, à la merci de piratage informatique, pourraient faire plus de mal qu’on ne l’imagine. Le spécialiste de la sécurité a alors illustré ses propos par plusieurs exemples qu’il avait donnés dans des interviews précédents. D’abord, le premier scénario qu’il décrit se base sur un moulin à café qui servirait du café fort, là où il lui était plutôt demandé du décaféiné. Ou encore, une smart TV qui diffuserait un tout autre contenu, différent de celui qui était attendu, voire des messages prédéfinis par un pirate. D’autres acteurs de la cybercriminalité ont exposé le risque grandissant avec les Smart TV, d’autant plus que les dernières générations peuvent surveiller l’activité du consommateur, en enregistrant les logs des différentes utilisations. Ces télévisions seraient même capables « d’écouter » et de sauvegarder les conversations des personnes aux alentours.
Par la suite, des découvertes et évènements ont donné raison à ces spécialistes, qui ont appelé à l’anticipation sur les mesures préventives et correctives. Par exemple, un réseau d’objets connectés a servi à décupler la violence des attaques DDoS lancées par le botnet Mirai contre plusieurs entités parmi lesquelles OVH, qui avait alors été victime de la plus violente attaque DDoS jamais enregistrée, ou le fournisseur de service DNS Dyn, qui a provoqué la paralysie de plusieurs sites internet.
Pour le cas spécifique de Mirai, le botnet se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.
Selon les chercheurs, d’ici 2020, entre 20 et 30 milliards d’objets seront connectés à internet. Cependant, bien que la sécurité de l’IdO soit un problème connu depuis des années, certains constructeurs reconnaissent qu'ils ne sont pas bien équipés pour produire des périphériques cybersécurisés.
Autant d’informations qui ont poussé les autorités américaines à réagir. En effet, un groupe bipartite de sénateurs américains prévoit d'introduire une législation pour s’attaquer aux vulnérabilités intégrées dans les objets connectés.
Sous la nouvelle loi, les constructeurs seraient tenus de fournir des équipements connectés à internet au gouvernement des États-Unis pour s'assurer que leurs produits sont imperméables et conformes aux normes de sécurité de l'industrie. Le projet de loi vise également à interdire aux fournisseurs de commercialiser des périphériques qui ont des mots de passe immuables ou possèdent des vulnérabilités de sécurité connues.
Les républicains Cory Gardner et Steve Daines et les démocrates Mark Warner et Ron Wyden parrainent la législation, qui a été rédigée avec la participation d’experts en technologie de l’Atlantic Council et de l'Université de Harvard.
« Nous essayons de prendre le meilleur parti possible », a déclaré Warner à Reuters lors d'une interview. Il a ajouté que la législation visait à remédier à une « défaillance évidente du marché » qui a laissé aux fabricants de dispositifs peu d'incitation à renforcer la sécurité.
La loi permettrait aux organismes fédéraux de demander au Bureau américain de gestion et de budget d'obtenir l'autorisation d'acheter des dispositifs non conformes si d'autres contrôles, comme la segmentation du réseau, sont en place.
Cela élargira également les protections légales pour les cyberchercheurs travaillant dans la « bonne foi » pour hacker les équipements dans le but de trouver des vulnérabilités afin que les constructeurs puissent corriger les failles précédemment inconnues.
La nouvelle législation comprend des « recommandations de sécurité raisonnables » qui seraient importantes pour améliorer la protection des réseaux du gouvernement fédéral, a déclaré Ray O'Farrell, responsable technologique de l'entreprise de cloud computing VMware.
Source : Reuters
Et vous ?
Que pensez-vous de cette initiative ? L'Europe gagnerait-elle à s'en inspirer ? Si cette législation est approuvée aux USA, cela contribuerait-il à réduire les vecteurs d'attaques de botnet comme Mirai selon vous ?Voir aussi :
OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures, essentiellement pour les internautes américains L'internet des objets pourrait rapidement devenir l'internet des menaces, prévient le fondateur et PDG Kaspersky