Le
22 septembre 2016 le blog Krebs
On Security - du chercheur en
cybersécurité Bryan Krebs - fut
victime d'une « attaque
par déni de service » (DDOS :
Distributed Denial Of Service) chiffrée à
620 gigaoctets/seconde, franchissant le record de 300 Go/s. Son
hébergeur Akamai s'avoua incapable de protéger le blog d'un tel
assaut et expliqua que les contre-mesures nécessaires auraient coûté
de 150 000 à 200 000 dollars/an. Heureusement, Google se porta au
secours du blogueur démuni avec sa technologie anti-DDOS nommée
Project
Shield, forte de son immense et
résiliente infrastructure numérique.
Le
même jour, l'hébergeur et fournisseur d'accès OVH fut
victime d'une attaque du même type estimée à 100-800 Go/s... avec
des
pics à 1,5 téraoctets/seconde
(To/s) ! Les hébergeurs/FAI Psychz Networks et Cogent
Communications, le fournisseur de serveurs virtuels privés Choopa et
l'éditeur de jeux vidéo Blizzard furent également paralysés par
des attaques DDOS de plusieurs centaines de Go/s.
N.B. :
Les attaques DDOS consistent à inonder un réseau / un serveur de
données via un réseau de machines infectées (botnets)
afin d'empêcher son fonctionnement et/ou d'en interdire l'accès.
L'ampleur
inédite de ces attaques DDOS doit énormément à des botnets
mobilisant – outre les ordinateurs classiques - des routeurs, des
enregistreurs vidéo numériques et des caméras de surveillance.
Ainsi, plus de 500 000 caméras « zombifiées » furent
impliquées dans l'attaque DDOS contre Krebs, et près de 150 000
caméras contre OVH.
De
fait, le cauchemar des professionnels de la cybersécurité a pris
forme : les objets connectés sont désormais des vecteurs de
cyberattaques parmi tant d'autres. Ces objets sont rarement pourvus
d'une console d'administration, d'un module de mise à jour et encore
moins d'une solution minimale de sécurité... et laissent présager
un Internet des Objets potentiellement infernal.
Faut-il
s'attendre à de méchants botnets de réfrigérateurs, d'horloges ou
de voitures connecté(e)s visant des équipements domestiques ou
des serveurs professionnels ? Des gares, des aéroports ou des
banques seront-ils/elles paralysé(e)s par des cyberattaques massives d'objets connectés ?
Pas
à pas, de nombreux produits manufacturés sont bien plus que des
objets de métal ou de plastique dotés de mécanique, d'électricité
et/ou d'électronique : ils deviennent connectés et
intelligents. Leurs formes sont statiques et définitives, leurs
fonctions sont dynamiques et évolutives... à l'image des
smartphones Android / iPhone, du téléviseur Samsung Smart TV et des
voitures intelligentes de Tesla Motors ou BMW qui acquièrent de
nouvelles capacités après des mises à jour de leurs systèmes
d'exploitation, apps, firmwares et/ou logiciels
embarqués.
De
fait, leurs conceptions et leurs utilisations devront également être
(mieux) pensées à l'aune de la sécurité. Dans quelques
années/décennies, votre voiture, votre télévision, votre
réfrigérateur et vos objets connectés à domicile / au travail
devront être muni(e)s d'un antivirus, d'un pare-feu et/ou d'une
solution de sécurité fourni(e)s par les fabricants ou par des
acteurs tiers, le tout couronné par votre culture générale de la
cybersécurité et de l'infosécurité...
Toutefois,
gardez-vous de toute illusion : l'Internet des Objets (IoT) sera un
véritable eldorado pour les hackers de tout poil... et les attaques
DDOS via l'IoT seront très probablement légion.
Aucun commentaire:
Enregistrer un commentaire