La récente RSA Conference de San Francisco a permis à deux chercheurs de Trend Micro, de prouver que 170 millions d’objets IoT installés dans les principales villes américaines, étaient visibles sans protections. De quoi être inquiet.

Les deux chercheurs, Numaan Hug et Stephen Hilt se sont servis du moteur spécialisé Shodan, qui permet de lancer des requêtes systématiques HTTP sur tout ce qui est exposé sur Internet, de manière à détecter les sites qui utiliseraient des logiciels sans en avoir les droits (selon son créateur John Atherly).

Et surprise, ils ont fait apparaître que 170 millions d’objets IoT étaient visibles et n’avaient pas de protections de sécurité particulières. Ce qui est très gênant dans la mesure où ces objets pourraient être exploités pour des attaques par force brute, mais aussi et surtout pour lancer des opérations de déni de service (DDoS), comme cela s’est produit avec la malheureuse affaire Mirai et ses caméras.

Ces objets ont été installés dans les 10 plus grandes villes américaines, New York City, Los Angeles, Chicago, Houston, Philadelphia, Phoenix, San Antonio, San Diego, Dallas et San Jose, probablement dans leur quête du label de « smart cities » : des NAS pour stocker des fichiers, des équipements mobiles, des appareils médicaux, des imprimantes, des routeurs et divers serveurs de messagerie et de bases de données. On n’était donc pas dans un contexte strictement IoT, avec des capteurs actifs et passifs, mais dans une sorte de pêche tous azimuts, les filets ramenant tout et n’importe quoi, dont des objets.

La grande majorité de ces « devices » sensibles répertoriés pas Shodan étaient des objets motorisés par Linux, mais Hug et Hilt ont aussi remarqué la présence courante de serveurs HTTP Apache, de bases MySQL et d’environnements LAMP.

Pas de généralisation

Il est difficile de se faire une idée définitive sur la dangerosité des IoT en 2017. La communication des chercheurs de Trend Micro, n’a fait au fond que confirmer ce que l’on savait déjà, à savoir qu’il existe un grand laxisme dans la protection des équipements exposés sur Internet, sans désigner plus précisément les objets. Ces derniers, par leur nombre, ne faisant qu’amplifier le phénomène.

Il va falloir maintenant se focaliser sur les objets proprement dits, exposés sur Internet, mais utilisant aussi d’autres réseaux, tels que les LPWAN et surtout trouver les moyens pour limiter les nuisances.

On a vu qu’il y avait un gros problème de vulnérabilité, il faut maintenant trouver les outils et bonnes pratiques, pour sinon l’éliminer, du moins le limiter. Ce sera l’un des thèmes que nos experts vont traiter très prochainement dans l’observatoire LeMarson.