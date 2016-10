Internet s’effondrera-t-il comme un château de cartes à cause des objets connectés? otoa cyberattaque qui a paralysé pendant quelques heures la semaine dernière des sites comme Twitter, Netflix, Airbnb, Amazon, The Boston Globe ou la BBC a confirmé les craintes déjà exprimées à de nombreuses reprises par des experts en cybersécurité.

Tous ces sites ont été victimes du piratage des serveurs de l’entreprise américaine Dyn, qui, comme d’autres du même genre, fournit à des entreprises ou à des particuliers un service de conversion des adresses IP dynamiques en un nom de domaine.

Pour bien comprendre, il faut savoir que tout appareil connecté au réseau Internet est identifié par une adresse IP (pour Internet Protocol), une série de chiffres qui est à la base du système d’acheminement des messages sur le Web, tout comme une adresse postale permet d’envoyer une lettre à un endroit précis.

Quand un ordinateur, une imprimante, un téléphone cellulaire ou tout autre objet qui peut établir une communication par Internet se connecte au réseau, celui-ci lui attribue automatiquement une adresse IP en faisant appel à un serveur dit « DHCP » (pour protocole de configuration dynamique d’hôte), relié au réseau, qui ne sert qu’à attribuer des adresses aux appareils qui s’y connectent.

La grande différence avec une adresse postale, c’est que la plupart des adresses IP sont dynamiques, c’est-à-dire qu’elles sont attribuées pour une durée limitée dans le temps (souvent quelques heures), afin de redevenir accessibles lorsque l’appareil est déconnecté.

Le service de Dyn, baptisé DynDNS, permet de convertir en tout temps les adresses IP dynamiques attribuées aux ordinateurs de ses clients en un seul nom de domaine. C’est ce qui permet par exemple à votre ordinateur ou votre télé connectée de trouver Netflix par son nom de domaine (netflix.com) plutôt que par les adresses IP dynamiques de ses serveurs.

Sauf que la semaine dernière, DynDNS s’est arrêté, victime de ce que les spécialistes appellent une attaque « par déni de service distribué » ou DDOS (distributed denial of service) : les pirates ont fait en sorte que des dizaines de millions d’adresses IP communiquent simultanément avec le serveur de DynDNS, ce qui a dépassé sa capacité de conversion des adresses IP en noms de domaine. Résultat: son système a été submergé et a planté. Du coup, tous les ordinateurs, télés, téléphones ou tablettes qui tentaient à ce moment-là de se connecter à Netflix ou aux autres clients de Dyn par leurs noms de domaine n’ont jamais trouvé les adresses IP, et donc les serveurs de ces entreprises.

Pour orchestrer une telle attaque, les pirates ont eu besoin de pouvoir commander un très grand nombre d’appareils pour qu’ils s’adressent tous en même temps à Dyn. C’est là que les objets connectés entrent en scène.

Dans les dernières années, le nombre d’objets reliés au réseau Internet a explosé : le fameux « Internet des objets » compterait en 2016 plus de six milliards d’appareils susceptibles de transmettre ou de recevoir de l’information par l’intermédiaire du réseau, selon la société de consultants Gartner, considérée comme une référence dans le domaine.

Outre nos ordinateurs, téléphones mobiles, routeurs, imprimantes ou tablettes, on trouve parmi les objets connectés de nombreux équipements industriels, des systèmes de gestion de la maintenance et de la logistique, des lecteurs de code-barres, des caméras de surveillance, des capteurs pour suivre la pollution atmosphérique, des feux de circulation, des appareils médicaux, des systèmes de gestion de l’énergie, des réfrigérateurs, thermostats, drones, moniteurs pour bébé, véhicules… Bref, potentiellement tout appareil qui peut être équipé d’une source d’énergie, d’un processeur et d’une application pour communiquer. Les possibilités sont quasi infinies! Tout ce qu’on qualifie habituellement d’« intelligent », que ce soit une ville, une télé ou une maison, repose en bonne partie sur l’Internet des objets.

En un an, le nombre d’appareils connectés aurait augmenté de 30 %, et Gartner s’attend à ce qu’ils dépassent les 20 milliards en 2020. Mais d’autres prévoient le double! Le marché potentiel pour les fabricants de dispositifs permettant de connecter quoi que ce soit à Internet est faramineux, et fait saliver bien des entreprises : la société IDC prévoit un chiffre d’affaires de 1 700 milliards de dollars en 2020!

Désireuses de profiter au plus vite de cette manne, bien des entreprises ont lésiné sur la sécurité, et mis sur le marché d’innombrables produits qui, contrairement à la plupart des ordinateurs ou autres appareils déjà reliés à Internet, ne sont pas équipés de mots de passe ni de logiciels de protection contre les virus informatiques ou de « pare-feux » mis régulièrement à jour pour qu’ils restent performants.

Ce sont ces objets connectés mal protégés qui ont permis aux pirates de bloquer le service de Dyn, à l’aide d’un logiciel malveillant. Baptisé Mirai, ce dernier est capable de les détourner de leur fonction première pour en faire ce qu’on surnomme des « machines zombies », que les pirates peuvent commander à l’insu de leurs propriétaires.

L’entreprise de cybersécurité Level 3 Communications estimait en septembre qu’environ un demi-million d’objets connectés sont actuellement infectés par Mirai, et leur nombre pourrait avoir largement augmenté depuis le début d’octobre, alors que le code source de ce logiciel a été rendu public par Internet.

Cette stratégie de piratage est aussi « vieille » qu’Internet. Mais l’arrivée dans le réseau d’innombrables objets connectés et non sécurisés décuple ses possibilités pour les pirates. Les autorités et spécialistes en cybersécurité sont encore en mode réaction devant cet afflux de nouveaux objets mal protégés, et il est fort possible que de telles attaques se multiplient dans les prochaines années.

Du coup, profitera-t-on tant que ça de cet Internet des « objets intelligents »? Cela reste à voir. Pour l’instant, la société Kaspersky, qui vend des antivirus, parle plutôt de l’Internet des objets… « merdiques » (crappy) !