2 ans après Mirai : conséquences sur la sécurité IoT, et au delà
Par: Kian Jamali et Adrien Merlier
Il y a un peu plus d’un an, le malware Mirai (“Future” en japonais) prenait par surprise le monde de l’Internet des Objets (Internet of Things — IoT) et de la sécurité informatique en attaquant de nombreux services Web, via l’utilisation de botnets, ensemble de machines “zombies” infecté par Mirai et répondant aux instructions d’un auteur malveillant. Concrètement, Mirai s’est attaqué aux objets connectés du quotidien présents en masse tel que des caméras de surveillance ou des routeurs maison pour réaliser des DDoS (ou dénis de services distribués, c’est à dire des attaques par surcharge de requêtes ou par perturbation qui vont empêcher un service donné de s’effectuer) d’une ampleur historique.
A travers cet événement, on peut donc voir que Mirai n’était qu’un exemple de plus du contraste marquant entre les besoins de l’IoT et les exigences de la cybersécurité. Ce clivage amène des changements dans les infrastructures du web, qui eux même remettent en question la philosophie même de l’Internet. Nous reviendrons sur tous ces éléments dans notre article.
Des changements difficiles sur les objets connectés
L’un des problèmes majeurs de la sécurité IoT est la contradiction entre les besoins économiques liés à l’IoT et l’investissement nécessaire pour garantir la sécurité d’un appareil. Sur un marché encore très jeune, les industriels essayent souvent de sortir très vite des produits légers, bon marché et simple à utiliser afin de conquérir les parts de marchés. Pourtant, ces critères sont souvent des “no-go” pour la cybersécurité:
- Cryptographie et authentification: Les librairies de chiffrement prennent de la place en mémoire, donc obligent l’appareil à augmenter ses capacités de calcul et de mémoire, et donc son prix. Tout ça si l’utilisateur a pris le temps de changer les identifiants par défaut… ce qui arrive peu.
- Protection du hardware: rien de plus facile que d’ouvrir un appareil pour aller y récupérer des informations ou en changer le fonctionnement. Il est pourtant possible de désactiver l’interface de débug, de rendre difficile l’accès au hardware ou en segmentant les parties hardware pour réduire la propagation de code malveillant.
- Utilisation de librairies/technologies obsolètes: En soit, l’utilisation de code open source n’est pas un problème. Toutefois, lorsqu’une vulnérabilité est découverte sur du code open-source populaire, il faut mettre à jour l’appareil au plus vite. Mais sur des produits à bas coût, le travail d’après vente est souvent bâclé, et les produits ne sont jamais mises à jour.
Des lois tentent toutefois d’empêcher la sécurité des objets IoT à l’abandon. Le Sénat Américain ainsi passé une loi pour obliger les constructeurs à mettre à jour leurs appareils après qu’une faille de sécurité soit apparu ou l’interdiction de commercialiser des objets possédant des vulnérabilités connus. Malgré cela, un nombre important d’objets connectés provient de constructeurs ne suivant pas les réglementations américaines, et donc difficilement vérifiable quant aux exigences de pays lointain. On peut donc s’interroger sur les limites pratiques des lois, qui apparaissent plus comme un effet d’image pour rassurer le citoyen.
Plus généralement, la sécurité de l’IoT fut particulièrement affecté par la publication du code source de Mirai. Pendant que les chercheurs et marchands de cybersécurité ont pu apprendre sur le fonctionnement du malware, des centaines de hackers ont étudié le code pour l’adapter à leur propre besoin. La preuve, Reaper (moissonneuse en français), un nouveau botnet construit en parti sur l’architecture de Mirai, a déjà infecté près d’un million d’appareil, sans qu’on sache la raison pour laquelle cette armée de machines sera déclenché.
De la DSI aux fournisseurs Cloud: un passage de flambeau
Les objets connectés présentent donc de multiples vulnérabilités, qui peuvent notamment amené à effectuer des DDoS massifs. Ainsi, après avoir constaté les dégâts qu’une telle attaque peut causer, nous pouvons chercher à mesurer les différentes mitigations existantes. Concrètement, l’enjeu pour pouvoir se défendre est d’identifier le trafic légitime du trafic malicieux. Il faut donc pouvoir analyser le trafic en temps réel pour effectuer cette identification et aspirer le trafic illégitime. On retrouve 3 étapes caractéristiques : analyse du trafic entrant, aspiration du trafic malveillant, mitigation par la mise en place de règles à travers des outils réseaux prévoyant de nouvelles attaques.
Une telle gestion du trafic relève d’une importante complexité qui échappe trop souvent aux DSI des entreprises. De plus, les attaques de types DDoS sont de plus en plus fréquentes (x2.5 depuis 3 ans, avec un projection de 17M d’attaques par an en 2020) et puissantes (proche de 1 Gigabit par seconde en moyenne), comme le montre le dernier rapport de Cisco sur le sujet. Il est donc choisi généralement de faire appel aux grands fournisseurs Cloud tels que OVH ou Cloudfare, pour se protéger de ses attaques puissantes.
L’exemple de la DDos est un cas particulier qui illustre l’intérêt que peuvent avoir les objets connectés à se placer dans le Cloud. L’IoT est donc une technologie supplémentaire venant alimenter le Cloud tant plébiscité aujourd’hui par les entreprises.
Une remise en question de l’Internet?
Ainsi, nous entrons progressivement et inévitablement dans une nouvelle ère impliquant de grandes infrastructures Cloud gérées par des géants de l’IT tel que Google, Amazon ou Azure. En effet, à l’heure où le hacker solitaire dans sa chambre a laissé place à des organisations tel que shadow broker ou Anonymous, la défense se voit dans l’obligation de s’organiser en se regroupant.
Cependant, n’est-il pas encore temps de se questionner sur les conséquences de cette restructuration de l’architecture d’Internet en cours ?
En effet, Cloudflare, un acteur du Cloud apportant protection aux sites web, a abandonné récemment un site néonazie, The Daily Stormer, pour des raisons idéologiques. Cette décision laissant ce site à la merci des attaquants, nous pouvons interroger la légitimité d’un acteur du privé pour décider du niveau de sécurité d’un site indépendant. Nous en arrivons au coeur du problème : cette nouvelle architecture nécessairement gérée par de grands acteurs du privé remet en cause la philosophie d’Internet qui se veut à l’abri de toute forme de censure. Nous passons d’une architecture complètement décentralisée, contraire aux systèmes politiques de notre époque, à une centralisation et un ordre relevant d’entités partiales.
Cette transformation rapide et inéluctable résulte d’une principale cause : l’utilisation d’Internet. Nous n’avions pas songé lors de la création de cet outil formidable que l’économie du monde s’appuierait dessus. Le web, reposant sur Internet, était avant tout un moyen de fédérer l’humanité afin de réunir connaissances et informations. Après avoir connu guerre et armes de destruction massive, nous avons mis au point une arme de construction massive ayant donné naissance à de gigantesques bibliothèques d’Alexandrie tels que Wikipedia ou Google. Aujourd’hui, il semblerait que l’idéal d’Internet s’éloigne de plus en plus de son intention originelle, en partie par la centralisation des pouvoirs qui le contrôlent.
Ainsi, les conséquences d’attaques de type Mirai vont bien au-delà de l’IoT, et remettent en question la philosophie même de l’Internet, sans qu’on puisse dire avec certitude quelle en sera l’issue.
