IoT et hackers
Le 21 octobre dernier, les utilisateurs de Twitter, Spotify, eBay, Paypal et autres Airbnb – entre autres – ont eu la mauvaise surprise de ne plus pouvoir accéder à leur service favori : en cause, l’effondrement des serveurs de DynDNS.
DynDNS, peu de gens connaissent cette entreprise et pourtant tout le monde utilise ses services puisqu’elle permet, entre autres, d’associer un nom de domaine – MarketingIsDead.net, par exemple – à une adresse physique de site – en fait, une suite de chiffres difficilement mémorisables ; donc si DynDNS tombe, impossible d’accéder à ses sites préférés, à moins d’en connaître l’adresse exacte … qu’évidemment personne ne connaît !
Bien sûr, DynDNS ne s’était pas crashé toute seule : de méchants pirates l’y avaient un peu aimé en réalisant une attaque par déni de service distribué – DDoS en bon anglais pour « distributed denial of service » : j’ai toujours bien aimé l’expression, je ne saurais dire pourquoi !
Comment ça marche ? Très simplement : vous envoyer des millions de requêtes à un site, plus qu’il ne peut répondre, et le site plante – le genre de trucs qui peut arriver sans l’aide du moindre pirate si l’on n’a pas su calibrer son site pour un trafic important.
Généralement les méchants hackers prennent la main sur des milliers de PC mal protégés et les utilisent pour bombarder leur cibles de requêtes : arrive un moment où se dernier ne peut plus faire face et baisse les bras – ce n’est qu’une image, bien évidemment.
Rien de nouveau sous le soleil … sauf qu’ici, les pirates ne se sont emparés de bons vieux PC pour relayer leurs requêtes : ils ont pris la main sur des appareils beaucoup moins sécurisé – pour ne pas dire, pas du tout sécurisés, ou presque : des objets connectés, type appareils photos, balances, caméras de surveillance et autres produits de domotique, etc. Des petits bidules qui présentent – outre de ne pas être sécurisés – l’avantage d’être en permanence connectés au Web.
Moralité : si le marché des objets connectés explosent comme le prédisent tous les augures, les techniciens de la sécurité devront se prémunir contre des multitudes de cheval de Troie : ça promet !
Et ce n’est pas parce que le marché de la montre connectée se plante aujourd’hui que l’Internet des Objets ne va décoller : demain, plus personne ne vendra d’appareils non connectés … que les consommateurs utilisent cette connectivité – ou pas ; ce qui revient à dire que nos appartements sont se peupler de dizaines de cibles-relais pour les hackers, sans que nous, pauvres citoyens, n’en ayons conscience.
Notre compteur électrique, notre réfrigérateur, notre téléviseurs offriront des portes béantes aux pirates : on peut toujours espérer qu’ils auront la délicatesse de ne pas les utiliser.
Pas de commentaires