BLOG

Les Thingbots se transforment pour attaquer les plateformes

Miniature de Lori MacVittie
Lori MacVittie
Publié le 29 novembre 2018

Ce n'est pas un exercice. La menace des Thingbots est existentielle et grandit avec chaque appareil connecté que nous installons.

J'ai un berger des Shetland qui a quelque chose contre mon grille-pain. Chaque fois qu'il est allumé, il aboie et saute dessus comme si c'était une menace. Mon mari et moi plaisantons en disant que le chien pense que le grille-pain est un Decepticon. Ou c'est ce que nous avons fait jusqu'à ce que je lise le dernier rapport de F5 Labs . Maintenant, je me demande si peut-être mon chien sait quelque chose que nous ne savons pas.  

Depuis des années, F5 Labs suit et signale les attaques contre les appareils IoT. En plus des caméras IP et des routeurs SOHO évidents, cela inclut votre téléviseur, votre four, votre réfrigérateur et votre cafetière Keurig.

Vous avez bien lu : F5 Labs a constaté un trafic d’attaque provenant d’une cafetière Keurig. Ce qui fait que les soupçons de mon chien envers mon grille-pain ne semblent pas aussi fous qu'il y a un instant, n'est-ce pas ?

Le dernier rapport de F5 Labs, qui couvre les données sur les attaques mondiales contre les appareils IoT de janvier à juin 2018, est inquiétant. Non seulement parce que les appareils IoT continuent d’être attaqués ou même parce qu’ils sont vulnérables aux attaques, mais aussi à cause de la transformation en cours.

Le rapport note que 74 % des « thingbots » que nous connaissons ont été développés au cours des deux dernières années. Treize thingbots ont été découverts rien qu'en 2018, et ce ne sont plus des robots à usage unique ou double. On assiste à un glissement vers des robots d'attaque polyvalents à louer qui déploient des serveurs proxy.

Les Thingbots se transforment en plateformes d’attaque. Ils sont dynamiques et configurables, capables de lancer une multitude d'attaques - du crypto-jacking aux renifleurs de paquets, en passant par les détournements DNS et le bourrage d'informations d'identification. Les attaquants ne se contentent pas de recruter des appareils IoT, ils les forment pour devenir des super-soldats dans leurs armées numériques.

Étant donné la facilité avec laquelle les attaquants sont capables de compromettre les appareils, cette transformation est inquiétante. La possibilité d’exploiter un seul appareil compromis pour plusieurs types d’attaques donne aux « propriétaires » de ces botnets un avantage économique. La location de réseaux d’appareils compromis est depuis longtemps une activité lucrative, mais la possibilité de diversifier votre portefeuille est un avantage sur n’importe quel marché.

Ne vous laissez pas tromper en pensant qu’il ne s’agit pas d’un marché. C'est vrai, et en transformant les thingbots en plateformes, les attaquants garantissent qu'il s'agit d'un marché en croissance.

Ce qui est frustrant, c’est que nous continuons à alimenter ce marché. Les fabricants et les fournisseurs de services y parviennent en s’appuyant sur des informations d’identification par défaut faibles qui sont facilement découvertes – ou devinées. Le rapport de F5 Labs indique que « quatre-vingt-huit pour cent (88 %) des identifiants figurant dans la liste des 50 plus attaqués du 1er janvier 2018 au 30 juin 2018 ont le même nom d'utilisateur que le mot de passe. Cela inclut « root : root », « admin : admin » et « user : user ».

Les attaquants le savent et ils l’exploitent avec des taux de réussite alarmants. Ce succès est facilité par le fait que les consommateurs ne parviennent pas à modifier ces informations d’identification par défaut.  Et une fois que les attaquants ont le contrôle d'un routeur SOHO, il est simple d'attaquer tous les appareils à l'intérieur du réseau qui n'auraient peut-être pas été accessibles autrement.

Comme votre cafetière. Ou peut-être mon grille-pain.

Il sera intéressant de voir si l’interdiction des mots de passe par défaut en Californie , qui doit entrer en vigueur le 1er janvier 2020, aura un impact mesurable. Le projet de loi exige que tout appareil connecté vendu en Californie dispose d'un mot de passe unique au moment de la fabrication ou nécessite la création d'un mot de passe lors de la première interaction avec l'utilisateur. Étant donné la nature mondiale du marché, cette exigence est susceptible d’avoir un impact sur les appareils vendus partout dans le monde. Mais cela n’inclut que les appareils vendus après le 1er janvier 2020. Cela n’aura pas d’impact sur les appareils vendus maintenant ou au cours des deux prochaines années. D’ici là, le réseau mondial d’appareils compromis pourrait être si vaste qu’il ne sera pas d’une aide aussi grande qu’il aurait pu l’être si cette loi – ou une loi similaire dans un autre État – avait été mise en place il y a des années.

Le dernier rapport de F5 Labs mérite d'être lu pour comprendre la grave menace que représentent les thingbots non seulement pour les propriétés numériques mais aussi pour les personnes. Chaque aspect de notre vie est en train d’être transformé numériquement, et l’IoT contribue de manière significative à cette transformation. En s’appropriant les appareils sur lesquels comptent nos policiers, nos pompiers et nos professionnels de la santé, les attaquants peuvent avoir un impact sur notre santé et notre sécurité. Le contrôle de la signalisation numérique qui guide et dirige le trafic sur les autoroutes pourrait conduire à des résultats désastreux.

Plus nous dépendons des appareils IoT, plus la menace de leur compromission devient grande.