L’inquiétant Internet des objets, deuxième partie : la conférence RSA

Chaque année, la conférence RSA à San Francisco, en Californie, porte sur l’Internet des objets et démontre comment aucune somme d’argent ne pourra régler la question de la sécurité informatique.

SAN FRANCISCO – Tout le monde sait que l’industrie de la sécurité a totalement échoué dans sa mission qui consiste à protéger les ordinateurs et les réseaux ainsi que toutes les données qui transitent sur Internet.

Force est de constater que la protection des ordinateurs traditionnels et des autres dispositifs en général  reste un défi de grande envergure. Durant la majeure partie des dix dernières années, les appareils mobiles ont présenté l’industrie avec un ensemble de défis à la fois nouveaux et similaires. Il ne serait probablement pas exagéré d’affirmer que le combat pour la protection des ordinateurs de bureau ainsi que celle des ordinateurs portables est pour le moment très ralenti par les hackers et autres criminels.

Marcher dans la salle d’exposition du Moscone Center de San Francisco, où a lieu la conférence RSA, est une réalité à la fois absurde et ironique. Je ne sais pas combien de millions de dollars sont investis dans des stands qui ont pour but de vendre une multitude de solutions et de services de sécurité à un nombre incalculable de professionnels de la sécurité. Pendant ce temps, malgré les investissements colossaux requis pour le développement de ces produits, des personnes comme Billy Rios, connu pour avoir donné une conférence sur  le piratage de la sécurité aéroportuaire l’an dernier, et David Jacoby, effectuent des démonstrations lors desquelles ils prennent le contrôle total de systèmes domotiques, de réseaux ou encore de de dispositifs.

Pour être juste, une grande partie de l’activité qui a lieu ici à la RSA est centrée sur le B2B. Il ne s’agit pas d’une conférence grand public sur la sécurité. Pourtant, les gros titres les plus récents, ainsi que de nombreuses conférences mondiales portant sur le sujet nous démontrent clairement que les ordinateurs ne sont pas sûrs, qu’ils soient chez vous ou au bureau. Mais malgré tout cela, l’industrie des technologies poursuit sans relâche et à une échelle exponentielle, sa brillante idée de tout vouloir connecter. C’est ce qu’on appelle l’ « Internet des Objets », et il n’est pas du tout sécurisé.

Il n’est donc pas surprenant que Billy Rios, fondateur de l’entreprise de sécurité Laconicly, ait pu exploiter une faille vieille de deux ans dans un dispositif de domotique Vera et cette dernière lui a donné un accès total à tous les autres dispositifs, réseaux et ordinateurs qui étaient rattachés au système.

Rios a exploité une faille de type « cross-site request forgery » (CSRF) dans un système domotique Vera et l’a forcé à accepter une mise à jour de son micro logiciel. En réalité, Rios a utilisé une méthode d’hameçonnage qui consiste à forcer sa victime à visiter un site Web malveillant.

Le mécanisme de mise à jour du micro logiciel du système Vera a ensuite  été désactivé, ce qui a permis à Rios de pouvoir télécharger son propre micro logiciel, qui, dans ce cas, était une copie de Pac-Man. Le micro logiciel « malveillant » de Rios était plutôt amusant, mais il aurait également pu télécharger tout ce qu’il voulait comme, par exemple, un dispositif conçu pour contrôler des centaines d’autres dispositifs IdO, tels que des serrures intelligentes, des thermostats, des lampes, des systèmes d’alarme ou encore des portes de garage pour n’en citer que quelques-uns.

Kelly Jackson Higgins de Dark Reading nous fait savoir que Vera corrigera ce bug grâce à une mise à jour du micro logiciel qui n’a pas encore été publiée.

Le jour suivant, David Jacoby, chercheur expert en sécurité chez Kaspersky Lab, a déployé un ensemble de codes malveillants, d’exploits et de techniques d’hameçonnage  afin de compromettre le dispositif du réseau de stockage rattaché au réseau de son domicile en Suède. Sa présentation fait partie d’un grand projet qui consiste à pirater une maison, et qui a longuement été commenté  sur Kaspersky Daily.

Comme Jacoby l’explique la plupart des fournisseurs qui fabriquent ce type de produits ne s’est pas du tout intéressée aux vulnérabilités de sécurité qu’il leur a signalé.  Il affirme d’ailleurs que la segmentation des réseaux représente la meilleure façon de contrer ces failles. Malheureusement, la segmentation des réseaux est une solution assez compliquée pour les utilisateurs moyens.

20 minutes après le discours de Jacoby, Yier Jin, un pirate de hardware et professeur à l’Université Centrale de Floride, nous a montré une backdoor au sein des célèbres systèmes de thermostat intelligents de Nest.

Jin a donc trouvé une backdoor dans les systèmes de Nest qui lui a permis d’installer un micro logiciel malveillant. De plus, il a trouvé le moyen de surveiller les données que les dispositifs Nest transmettent aux serveurs Cloud de la compagnie et affirme qu’il s’agit souvent de données sensibles. Si elles sont surveillées correctement, un pirate pourrait obtenir toutes sortes d’informations sur la présence ou l’absence d’un utilisateur chez lui. De plus, l’utilisateur n’a aucun moyen de désactiver la collecte de ces données. Et comme si cela ne suffisait pas, l’accès root de Jien peut lui permettre de basculer sur d’autres dispositifs du même réseau, de trafiquer l’appareil Nest, de voir les identifiants du réseau en texte clair et bien plus encore.

Malgré l’investissement de centaines de milliards de dollars, les ordinateurs traditionnels, sans parler de l'(inquiétant) Internet des Objets, restent désespérément exposés aux attaques.

Conseils