Atlantico : En septembre et octobre 2016, deux attaques DDOS ont été particulièrement marquantes: la première sur l'entreprise OVH et la deuxième sur DYN. Dans les deux cas, ces attaques ont été rendues possibles par les objets connectés. Malgré l'ampleur de ces attaques, celles-ci sont à relativiser. Dans une récente étude réalisée pour le compte de l'entreprise HSB, on note que seuls 10% des utilisateurs ont été touchés par des problèmes de piratage. Quels sont les risques du piratage des objets connectés ?

Quel peut être le préjudice porté aux particuleirs et aux entreprises ?

Yvon Moysan : Une attaque DDoS ou attaque par déni de service massive vise à rendre un serveur, un service ou une infrastructure indisponibles en surchargeant la bande passante du serveur, ou en accaparant ses ressources jusqu'à épuisement. Lors d'une attaque DDoS, une multitude de requêtes sont envoyées simultanément et depuis de multiples endroits. L'intensité de ce "tir croisé" rend le service instable, voire indisponible. Le risque d’être confronté à ce type d’attaque est important et surtout les tentatives sont nombreuses. Dans le cas de la société américaine Dyn que vous évoquez, celle-ci a été victime d'une attaque de plus d’un Téra-octet par seconde, ce qui pourrait concerner environ 10 millions d’objets connectés piratés. Ce niveau d’intensité est toutefois très rare.

Le préjudice subi dépend du type d’objets connectés piratés et du caractère sensible des données des particuliers. Si la majorité des objets connectés contiennent rarement des informations aussi sensibles que celles qui sont stockées sur un ordinateur, il en existe des sensibles comme les voitures connectées ou les fusils intelligents qui, piratés à distance, peuvent représenter un véritable danger, potentiellement mortel pour l’utilisateur. Et ce risque s’est d’ores et déjà avéré. Des experts en sécurité informatique ont ainsi réussi à prendre le contrôle à distance d'une Jeep Cherokee. Ils ont pu agir sur la vitesse, freinant et accélérant à leur guise, envoyant même la voiture dans le fossé alors que pour le fusil intelligent, d’autres experts ont réussi a bloqué le déclenchement du tir.

Le risque existe également pour des objets plus communs comme les applications de smart home. Des hackers ont ainsi réussi à bloquer la température de thermostats connectés à une température polaire ou saharienne. Plus préjudiciable, des hackers ont pris le contrôle de caméras de surveillance, récupéré les vidéos enregistrées, et au final les ont diffusées sur le Web. Un baby phone a également été la cible d’un hacker terrorisant un bébé et ses parents. En prenant le contrôle de l’appareil équipé d’une caméra, d’un micro et d’un haut-parleur, celui-ci s’est mis à hurler des insanités sur le nourrisson. Le risque peut surtout être généralisé si des hackers réussissent à prendre le contrôle des réseaux d'électricité ou de gaz sur un quartier par exemple. Il devient en effet possible de plonger toute une zone dans le noir ou, en fonction des données récoltées sur la consommation, de savoir quelles habitations sont occupées ou pas, en vue d'éventuels cambriolages.

Cela peut ensuite être contraignant pour la société qui a fabriqué et vendu les objets piratés car cela révèle la faiblesse du niveau de sécurité. Dans le cas de l’attaque de la société Dyn, une partie des objets connectés étaient ceux de la société chinoise Xiongmai, qui a dû les rappeler en urgence pour leur appliquer un correctif de sécurité. Cela peut aussi être problématique pour les clients de la société victimes de l’attaque. Dans le cas de Dyn, cela a eu pour conséquence de rendre inaccessible pendant une dizaine d’heures des sites comme Twitter, Ebay, Netflix, GitHub ou encore PayPal.