Attraper de gros poissons avec de gros appâts

Threat Intelligence Team, 1 avril 2019

On dénombre 23,2 millions d’attaques potentielles ciblant 500 appareils IoT factices déployés au Mobile World Congress.

Le dimanche 24 février, la veille du Mobile World Congress 2019, les chercheurs d’Avast Security (Martin Hron, Vladislav Iliushin, Libor Bakajsa, et Anna Shirokova) ont lancé un projet : le déploiement de 500 « honeypots » dans 10 pays à travers le monde, qui fonctionneraient pour toute la durée de l’événement (quatre jours) et au-delà. Le but était de capturer le nombre de tentatives de connexion effectuées par des attaques potentielles sur ces « honeypots » dans l’espoir d'obtenir des données utiles.

Ces « honeypots », semblables à des pièges à souris sur Internet, ont été configurés volontairement avec des ports ouverts, généralement trouvés sur des appareils connectés, pour piéger les pirates qui les ont scannés en leur faisant croire qu’ils se connectaient à des routeurs, des télévisions intelligentes, des caméras de sécurité ou autres applications intelligentes. Les découvertes furent meilleures (ou pires) qu’escomptées.

Alors que le MWC touchait à sa fin autour de 16 h, le mercredi 28 février, 23,2 millions de tentatives de connexion à ces « honeypots » ont été enregistrées par l’équipe. En d’autres termes, parmi les 500 appareils IoT factices installés sur Internet, 23,2 millions d’attaques ont potentiellement été effectuées par des cybercriminels. Cela représente 11 588 tentatives de connexion par appareil et par jour.

Les trois ports qui ont été scannés le plus souvent sont ceux généralement trouvés dans les appareils de streaming Chromecast et les enceintes Google Smart Home (port 8088), le port Telnet 22 et le port SSH 23, souvent présents dans les routeurs Ce n’est pas vraiment surprenant. Les appareils de streaming sont les appareils intelligents les plus répandus et les plus vulnérables d’un foyer, selon notre étude récente.

La sécurité des routeurs est également un sujet inquiétant. Sur 11 millions de routeurs scannés par Avast en septembre 2018, 60 % d’entre eux présentaient des informations d’identifications faibles ou des vulnérabilités logicielles.

honeypots-mwc

Nombre de tentatives de connexion à 12 h 37, le mercredi 28 février

D’où venaient donc ces attaques potentielles envers nos « honeypots » et qui en étaient les cibles ? Selon nos données, les trois pays les plus « attaqués » sont l’Irlande, l’Allemagne et les États-Unis (tous les détails dans le tableau ci-dessous), tandis que les trois pays les plus agressifs en termes de réalisations de scans sont les États-Unis, la Chine et la France.

Pays

Nombre de connexions par honeypot au cours des quatre jours de l’événement

Irlande

218 851

Allemagne

162 868

États-Unis

159 532

Toutefois, l’attribution des responsabilités dans la cybersécurité est rarement évidente. Les pirates font souvent appel à des techniques leur permettant de brouiller les pistes, comme les VPN (réseau privé virtuel), le réseau notoire TOR ou l’utilisation de connexions proxy via un appareil déjà infecté. Pour autant, au cours de ces quatre jours, la plupart des attaques observées provenaient de serveurs situés aux États-Unis, en Chine, ou aux Pays-Bas.

Vous n’êtes pas une cible. C’est ce que vous croyez.

L’objectif des « honeypots » est de détecter une activité cybercriminelle avant d’étudier leurs méthodes d’attaque. Ils existent pour tromper les pirates et leur faire croire que les appareils qu’ils ciblent sont réels, ainsi que les données qu’ils contiennent.

Que se passerait-il si ces appareils étaient réels, s'il ne s’agissait pas de leurres ? Que se passerait-il si votre routeur domestique ou votre assistant intelligent étaient scannés à la recherche de vulnérabilités presque 12 000 fois par jour ?

La résilience de votre réseau domestique dépend de son maillon le plus faible. Plus le nombre d’appareils intelligents rattachés à un réseau augmente, plus ce maillon s’affaiblit. Avec 23,2 millions d’attaques potentielles réalisées sur 500 appareils IoT factices en l’espace de quatre jours, imaginez le volume auquel on peut s’attendre d’ici l’année prochaine lorsque 38,5 milliards d’appareils IoT réels constitueront l’écosystème IoT mondial.

En tenant compte du nombre moyen de connexions effectuées sur un seul « honeypot » en l’espace d'une journée au MWC et en le mettant à l’échelle du nombre total d’installations IoT attendues pour l’année prochaine, nous compterions plus de 446 000 milliards de tentatives de connexion dans le monde sur une période de 24 heures, en partant du principe que ces appareils demeurent accessible publiquement depuis Internet.

Il s’agit là d’un scénario extrême, mais qui montre que la cybersécurité est sur le point d’être affectée par une épidémie.

Selon le Ponemon Institute, la probabilité d’être victime d’une cyberattaque est de 25 %. Autrement, vous avez plus de chance d’être piraté que de tomber sur n’importe quel nombre d’un dé à six faces. Pourquoi ce manque d'intérêt pour la cybersécurité, alors que les chances ne sont pas en faveur de la sécurité de nos données personnelles ? Le problème est en partie émotionnel.

La plupart des gens pensent que ce n’est pas grave si leur télévision intelligente, leur enceinte intelligente ou leur ampoule est vulnérable, car ils ne se sentent pas menacés. Après tout, pourquoi un cybercriminel s’intéresserait-il aux programmes que vous regardez, à la musique que vous écoutez et aux nombres de fois que vous allumez vos lumières ? L’argument se tient, jusqu’à ce que vous preniez du recul. Imaginez un peu qu’un pirate compromette votre machine à café intelligente, qui se situe sur le même réseau que votre enceinte et votre assistant intelligents.

En y appliquant l’idée qu’il ne suffit de pénétrer qu’un seul appareil pour prendre le contrôle de l’ensemble d’un réseau domestique, cette machine à café pourrait servir de vecteur et permettre au pirate d’interagir avec votre enceinte intelligente et émettre des commandes vocales qui lui permettront de passer des commandes via votre compte, et de potentiellement atteindre le plafond de votre carte de crédit.

Imaginez maintenant que votre foyer est « sécurisé » par un verrou intelligent qui s’intègre à votre assistant intelligent pour ouvrir et fermer la porte d’entrée. La position de votre foyer a été découverte dans le firmware de vos ampoules intelligentes, car une application sur votre téléphone stocke des coordonnées GPS physiques dans vos ampoules depuis qu’elle a été installée. L’adresse de votre domicile est maintenant compromise, et en suivant la même méthode décrite plus haut, le pirate peut émettre une commande depuis l’enceinte Alexa et ainsi ouvrir la porte.

Contremesures astucieuses

Les scénarios énoncés ont beau paraître dystopiques, ils n’en demeurent pas moins crédibles. Nous avons déjà vu des exemples réels de programmes malveillants IoT qui infectaient près d’un million de routeurs Deutsche Telecom, coupant ainsi les connexions internet des clients. De nombreuses autres variantes du même programme malveillant, appelé Mirai, ont été utilisées pour lancer des attaques par déni de service (DDoS) sur des domaines de sites populaires ou pour exploiter la puissance informatique d’appareils IoT afin de récupérer de la cryptomonnaie.

Mais tout espoir n’est pas perdu. Malgré une augmentation du nombre de pirates souhaitant surfer sur la vague de l’insécurité de l’IoT, et la hausse des scans malveillants cherchant à localiser les maillons faibles de la chaîne, il est possible de contenir les menaces en faisant preuve de ce que nous appelons souvent « hygiène numérique élémentaire ».

De la même manière qu’il est possible d’empêcher un virus de se propager d'un hôte à un autre en se désinfectant simplement les mains, un virus IoT malveillant peut être stoppé en suivant des étapes similaires. Vous trouverez ci-dessous deux actions que tout le monde peut (et devrait) effectuer pour réduire de façon radicale les risques d’être victime d’un cybercrime :

1. Utiliser des mots de passe complexes : Configurez des mots de passe complexes pour vos routeurs et vos appareils IoT et Wi-Fi. Créez des mots de passe complexes et uniques, sans informations personnelles. Quand cela est possible, les mots de passe doivent inclure au moins 10 caractères, dont des nombres et des caractères spéciaux dans l’idéal, et ne doivent avoir aucun lien avec vous ou le service qu'ils protègent.


2. Mettre à jour le firmware de votre routeur et de vos appareils IoT : il est crucial de mettre à jour le firmware de votre routeur et de vos appareils IoT, à chaque fois qu'une mise à jour est disponible. Les mises à jour comprennent souvent des correctifs pour des vulnérabilités, ce qui permet de sécuriser vos appareils et d’empêcher des cybercriminels d’en profiter pour obtenir l’accès.

Avant d’acheter un appareil, consultez les correctifs de sécurité du logiciel sur le site web du fournisseur. Si le fournisseur ne propose aucun correctif, ou s'il n’en a pas proposé depuis un ou deux ans, il est fort possible que l’appareil que vous comptez acheter soit déjà vulnérable.

N'oubliez pas : la résilience de votre réseau domestique dépend de son maillon le plus faible. Au fur et à mesure que vous ajoutez de nouveaux appareils intelligents à votre réseau, veillez à suivre nos conseils ci-dessus pour protéger votre maison intelligente.


Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé.

Apprenez-en davantage sur les produits qui protègent votre vie numérique sur avast.com. Obtenez toutes les dernières nouvelles sur les cybermenaces d’aujourd’hui et comment les vaincre sur blog.avast.com.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.

Articles liés