L'Internet des objets (de plus en plus effrayants)

Il y a beaucoup de FUD (peur, incertitude et doute) qui s’attachent à toute tendance technologique émergente, en particulier lorsqu’elle implique de vastes légions de consommateurs désireux d’y participer. Et même s’il est assez facile d’ignorer la paranoïa selon laquelle les robots et autres objets technologiquement « intelligents » pourraient vouloir vous avoir par eux-mêmes (du moins jusqu’à présent), il n’est pas si facile d’ignorer la réalité selon laquelle ils peuvent être exploités pour faire le mal aussi facilement que pour faire le bien.

Considérez, si vous le voulez bien, l’attaque DDoS massive qui s’est produite entre le 30 novembre et le 1er décembre, ciblant treize des serveurs de noms racines d’Internet. Ensemble, ces serveurs prennent en charge la quasi-totalité d’Internet. Certes, ils sont conçus pour fonctionner de manière distribuée, et s’ils venaient à tomber en panne, d’autres serveurs dans le monde reprendraient leur bannière et continueraient à fournir des adresses IP en échange de noms de domaine, ce qui fait que ce n’est pas l’impact mais les mécanismes derrière l’attaque qui constituent la partie vraiment effrayante de cette histoire.

« Au plus fort de l’attaque DDoS, les serveurs ont reçu plus de cinq millions de requêtes par seconde, et plus de 50 milliards de requêtes au total sur la période de deux jours. » ( http://www.ibtimes.co.uk/john-mcafee-massive-ddos-attack-internet-was-smartphone-botnet-popular-app-1532993 ).

Selon plusieurs experts en sécurité, la source de ces requêtes était presque certainement les téléphones portables. Peut-être le tien. Peut-être le mien. Il est difficile de le savoir avec certitude, car le nombre de variables en jeu (Wi-Fi, réseau mobile, opérateur, etc.) rend difficile de déterminer d’où provient la plage d’adresses IP uniformément répartie.

Les experts pointent du doigt les téléphones portables sur lesquels une application compromise est installée, affirmant qu'un tel volume de robots d'attaque pourrait être facilement obtenu avec un nombre relativement faible d'applications malveillantes activées. Pourquoi quelqu’un installerait-il une mauvaise application ? Parce qu’ils ne savent pas que c’est mauvais, bien sûr. À ce stade, on suppose que la mauvaise application se fait passer pour quelque chose d’inoffensif, comme une application de lampe de poche ou un autre utilitaire simple, petit, utile et absolument gratuit.

Il ne s’agit en aucun cas d’une exagération de la réalité ou d’une affirmation aussi tirée par les cheveux que cela aurait pu paraître. Le nombre d’« objets » pouvant être exploités grâce à leur connectivité et à leur dépendance aux API augmente et pourrait bientôt être suffisamment important pour être considéré comme une menace égale à celle des téléphones mobiles aujourd’hui, même contre les plus grandes institutions.

Parmi les institutions suggérées comme cibles figurent bien sûr les institutions financières, qui ne sont pas étrangères au monde des robots, des logiciels malveillants et autres éléments malveillants. C'est parce que l'une des méthodes les plus courantes utilisées par les malfaiteurs pour commettre des fraudes est l'utilisation de logiciels malveillants déposés sur les téléphones mobiles grâce au phishing ou à d'autres techniques d'ingénierie sociale. Une fois sur l'appareil, ces petits logiciels malveillants utilisent « différentes techniques pour obtenir des autorisations d'administration sur l'appareil des victimes, voler les TAN (Transaction Authorization Number) des utilisateurs, intercepter les messages SMS contenant des OTP, effectuer des vols d'informations d'identification, présenter du contenu frauduleux, effectuer des transferts d'argent automatiques et plus encore », selon Shaul Vilkomir-Preisman , analyste senior des logiciels malveillants dans notre SOC F5 .

Shaul a récemment publié une analyse d'une menace émergente, Tashua-Bot , qui a augmenté la mise dans le jeu déjà à enjeux élevés de la fraude en améliorant la technique traditionnelle de superposition de contenu sur des sites financiers légitimes pour inciter les consommateurs à fournir des informations sensibles. Il s’agit d’une évolution dangereuse, car elle fournit à ses contrôleurs non seulement les moyens de cibler un « nombre pratiquement infini d’applications légitimes », mais également de leur proposer du contenu frauduleux personnalisé sans modifier le malware lui-même. Cela signifie qu’une fois déposé, il peut potentiellement être utilisé encore et encore, contrecarrant ainsi toutes les protections qui pourraient être mises en place par les institutions pour protéger leurs consommateurs contre les activités frauduleuses.

L'expression souvent utilisée à tort et à travers pour décrire la vision agréable du marché général à l'égard de l'économie des applications, « il existe une application pour cela », n'est pas seulement vraie pour les consommateurs, mais apparemment aussi pour les méchants. Qu'il s'agisse de téléphones portables, de votre réfrigérateur ou de ces « objets » que vous attachez à vos appareils électroménagers et qui commandent de nouvelles fournitures sur Amazon en toute transparence , les méchants cherchent avec impatience de nouvelles façons d'exploiter les consommateurs et le nombre croissant de connexions qu'ils ont à Internet. Comme le montre notre analyse de Yasuo-Bot, ils ne sont pas non plus inactifs, mais plutôt constamment en mouvement, cherchant de nouvelles façons d'exploiter notre appétit pour la commodité afin de servir leurs propres besoins.

Restez en sécurité et attachez vos ceintures, ça va être un voyage mouvementé.