Prévisions d’aujourd’hui pour l’Internet de demain : exploitation des objets IoT pour le lancement d’attaques de l’intérieur

0

Le nombre d’objets IoT exploitant le protocole IP a augmenté considérablement ces dernières années et, selon les prévisions de Gartner, il devrait avoisiner le chiffre étourdissant de 21 milliards en 2020. Pratiquement tout équipement fabriqué aujourd’hui, qu’il s’agisse d’un appareil électroménager, d’un lampadaire, d’un parcmètre, d’un jouet ou même d’une voiture, intègre une fonctionnalité IoT permettant de le surveiller ou de le gérer via Internet.

Malheureusement, en raison de leur faible capacité de stockage, de leurs fonctions limitées et de la pression sans cesse croissante sur leurs coûts, ces équipements sont généralement mal sécurisés et constituent des cibles faciles pour les auteurs d’attaques qui les recherchent activement en vue de les enrôler dans des botnets. Les objets connectés à Internet, tels que les webcams et les magnétoscopes numériques, sont désormais des proies de choix pour le lancement d’attaques DDoS et ont été exploités pour des assauts de grande ampleur contre DYN, OVH et autres en 2016-2017.

Les fabricants ont lentement commencé à renforcer la sécurité des objets IoT directement connectés à Internet – dont la proportion est estimée à environ 5 % du parc total – mais les 95 % restants reçoivent moins d’attention car ils sont déployés derrière des firewalls d’entreprise et donc censés être à l’abri des attaques. Or cette idée reçue a été battue en brèche en février 2017.

Le Spreader Mirai Windows

En effet, en février 2017, un nouveau cheval de Troie Windows contenant du code d’attaque IoT a été détecté par l’ASERT et d’autres chercheurs de malwares. Son originalité tient au fait qu’en dehors d’infecter les ordinateurs Windows, il recherche également des objets IoT vulnérables puis tente de les contaminer avec le code du botnet IoT Mirai.

Cela signifie que, si un ordinateur Windows infecté par ce cheval de Troie est connecté au réseau à l’intérieur du firewall d’une entreprise, il se mettra à scruter le réseau à la recherche de tous les objets IoT vulnérables qui étaient jugés hors de portée des attaques.

Les pirates peuvent ainsi toucher les 95 % des objets IoT qui leur étaient jusque-là inaccessibles et s’en servir pour lancer des attaques DDoS vers l’extérieur ou bien contre des ressources internes vulnérables, notamment les datacenters et les infrastructures réseau WAN/LAN. Or, dans la quasi-totalité des cas, ces ressources ne sont PAS protégées des attaques DDoS provenant de l’intérieur et y sont donc très exposées.

Les malwares DDoS de botnets et les ransomwares classiques ont par ailleurs commencé à faire l’objet d’une pollinisation croisée en 2017 à mesure que les assaillants prennent conscience que les attaques DDoS contre les infrastructures réseau peuvent être bien plus dévastatrices que l’infection des postes utilisateurs.

La convergence de ces deux tendances pourrait faciliter le lancement d’attaques de ransomware en plusieurs phases, combinant des assauts DDoS externes avec d’autres, internes, exploitant des objets IoT qui se trouvent déjà au sein des réseaux ciblés.

La tendance à connecter chaque objet à Internet a clairement de nombreux avantages dans la société moderne. Cependant, les aspects concernant la sécurité n’ont pas été pris en compte et des pirates s’emploient aujourd’hui à prendre le contrôle de ces équipements, les retournant contre leurs utilisateurs pour en tirer profit.

Le Spreader Windows Mirai a changé la donne, ouvrant la voie à l’infection des objets IoT à l’intérieur des entreprises et à leur exploitation pour le lancement d’attaques contre des ressources internes vulnérables.

Toutefois, un réseau conçu et sécurisé selon les meilleures pratiques, au moyen d’équipements de segmentation, de surveillance, de neutralisation DDoS et de protection « stateless », sera en mesure de détecter et de contrer ces attaques.

Hélas, étant donné qu’il est quasi impossible de sécuriser le réseau pendant une attaque en cours, la préparation est essentielle. Protégez donc vos réseaux avant que vos objets IoT ne se rebellent contre vous !

About Author

Steinthor Bjarnason

Steinthor Bjarnason Senior Network Security Analyst de l'équipe ASERT Arbor Networks. Il effectue de la recherche appliquée sur de nouvelles technologies et solutions pour se défendre contre les attaques DDoS. Steinthor a 18 ans d'expérience dans les domaines de la sécurité Internet, IoT, cloud, SDN, de la sécurité réseau ainsi que de la mitigation des attaques DDoS. Steinthor est principal inventeur de l'initiative " the Cisco Autonomic Networking ", avec un accent particulier sur l'automatisation de la sécurité où il détient un certain nombre de brevets connexes.

Leave A Reply