Lundi, Proofpoint a démontré une attaque à grande échelle aboutissant à la constitution d’un botnet intégrant en partie des objets connectés (« thingsbot« ). Ce qui permet d’intégrer par exemple un frigo connecté ou un media center de salon numérique dans un réseau de systèmes zombies (PC mais aussi appliances) pour et d’initier une cyber-attaque (campagnes de phishing, spam…).
Pour l’éditeur de solutions de sécurité IT dans le cloud (historiquement protection de la messagerie), cette démonstration d’une exploitation poussée de l’Internet des objets dans une brèche de sécurité IT est une première dans le monde.
Entre fin décembre 2013 et début janvier 2014, cela a abouti à l’envoi de plus de 750 000 e-mails frauduleux, en provenance de plus de 100 000 équipements utilisés dans la vie au quotidien, comme des passerelles domestiques, des media centers, des télévisions connectées et au moins un réfrigérateur. Tous ces objets connectés ont servi de leviers (relais botnet) pour déclencher des cyber-attaques.
Cet assaut à partir des objets connectés est assez étonnant au regard de l’hétérogénéité des systèmes embarqués et de la configuration des objets connectés. « De nombreux appareils fonctionnent sous un système d’exploitation de type Linux (appellé BusyBox) », explique Ismet Géri, Directeur Europe du Sud de Proofpoint, contacté lundi après-midi par échanges de mails.
« Certains utilisent le service Apache ou mini-httpd, d’autres appareils fonctionnent avec des processeurs ARM ou MIPS et d’autres à base de chipsets Realtek (par exemple les media players). D’autres parient sur les consoles de jeux vidéo. On trouve également des appareils de type NAS (serveur de stockage en réseau). Une marque en particulier a ouvert le protocole Telnet, SSH et SMTP. Certains décodeurs télé ont également fait l’objet d’une exploitation. »
Dans le cas découvert par Proofpoint, le thingsbot n’a servi que de relais pour actionner des campagnes frauduleuses. Mais pourrait-on finalement viser directement les appareils connectés au point de les dérégler ? Ismet Géri considère que, par le biais d’un procédé « drive by download » (infection en consultant les pages Web d’un site Internet), il est déjà possible de prendre la main à distance d’un botnet. « Donc, cela est envisageable pour les thingsbots. »
On pourrait imaginer que ce thème de l’Internet des objets dépasse le domaine de prédilection de Proofpoint, qui se positionne comme un fournisseur de solutions de protection en mode hébergé (cloud) englobant la gestion des menaces, la conformité aux règlements, la gestion des données et les communications sécurisées.
Détrompez-vous. « Ce sujet entre totalement dans notre cœur de métier : la solution Targeted Attack Protection (TAP) permet de détecter pro-activement et de sécuriser tout type d’assaut émanant d’Internet via le canal e-mail », commente Ismet Géri. « C’est grâce à elle que nous avons pu démontrer cette attaque pour la toute première fois. »
Quiz : Connaissez-vous l’architecture RAID ?
Credit photo : Shutterstock.com – Copyright : asharkyu
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…