Saint-Valentin : les pirates tombent amoureux…

0

…de votre imprimante

Le 20 septembre 2016, une attaque DDoS de grande ampleur fait tomber le site krebsonsecurity.com, un blog hautement réputé dans le milieu de la sécurité informatique et géré par le journaliste Brian Krebs. C’est à partir de ce moment que le grand public prend vraiment conscience de la menace qui pèse sur les objets connectés. Un mois plus tard, le malware Mirai rend inaccessible la moitié du net à l’aide d’un botnet entièrement composé de webcams, routeurs et interphones de surveillance bébé. La liste des objets smart potentiellement piratables s’élargit de jour en jour, comprenant des voitures connectées, systèmes de fermeture de porte dans les hôtels et même des dispositifs cardiaques.

Alors que l’an dernier, nous étions principalement préoccupés par trois menaces : les APT, les rançongiciels et les attaques DDoS via les botnets IoT, 2017 risque de voir l’aube des piratages hybrides, qui emploient des techniques appartenant aux trois catégories précédemment évoquées. Prenons par exemple la prise en otage des objets connectés dans une entreprise. Si vous refusez de payer la rançon, les responsables vous menacent avec une attaque DDoS. Cette nouvelle tendance en matière de cybercriminalité porte le surnom de « jackware ». En d’autres mots, c’est un type de rançongiciel plus avancé, visant exclusivement les composants IoT. Ou, faut-il mieux dire, le RoT (le Ransomware of Things)?

L’incident le plus récent de ce type ne vise pas les chaussettes connectées (oui, ça existe !), mais bien plus surprenant : vos imprimantes. Pourquoi surprenant alors ? Disons que les imprimantes, ces terminaux omniprésents dans la vie d’une entreprise, devraient être mieux sécurisées à l’heure d’aujourd’hui. Pour tenter de sensibiliser au danger dormant, un gray hat surnommé Stackoverflowin a réalisé le plus grand piratage d’imprimantes connectées (nous avons appris plus tard que le hacker en question était en fait un lycéen britannique – GG UK !).

Début février, 150 000 imprimantes HP, Brother, Canon ou Epson, que ce soit chez des professionnels que chez des particuliers, ont commencé à imprimer toutes seules des dessins bizarres suivis d’un conseil simple : sécurisez votre machine.

Certains utilisateurs se sont montrés impressionnés par la technique de Stackoverflowin

Un prétendant bien intentionné (heureusement)

Pour obtenir l’accès à tous ces appareils, Stackoverflowin aurait conçu son propre script automatisé. Il contrôle de cette manière un bot capable de repérer les ports ouverts et, par conséquence, les imprimantes non sécurisées. Les scripts du jeune pirate visent exclusivement les imprimantes ayant des ports de type IPP (Internet Printing Protocol), LPD (Line Printer Daemon) et TCP/9100 ouverts aux connexions externes. Les scripts contiennent également un exploit qui se sert d’une vulnérabilité RCE (permettant l’exécution du code à distance) afin de déclencher des impressions incognito sur les dispositifs ciblés.

C’est comme ça que des imprimantes se sont donc mises, toutes seules, à imprimer son alerte.

Stackoverflowin déclare avoir constaté des différences dans la sécurisation des imprimantes en fonction des pays. Bonne nouvelle ! La France ne fait pas partie des mauvais élèves car les box opérateurs sont généralement préconfigurées pour bloquer toute connexion entrante.

Il est important de préciser que le but du hacker responsable n’était pas de construire un botnet. En effet, Stackoverflowin affirme avoir juste essayé de tirer une sonnette d’alarme concernant les risques en cybersécurité quand il s’agit des imprimantes exposées en ligne.

« D’autres avant moi ont déjà tenté de faire ce que j’ai fait – je me réfère ici à l’incident avec les dépliants racistes. Ce n’était pas mon intention de forcer les autres à regarder ce type de message. Non, j’ai juste voulu les aider à résoudre leur problème et je me suis dit ‘pourquoi ne pas s’amuser un peu en même temps‘. Tout le monde a été réceptif au sujet et la plupart m’ont remercié d’avoir été honnête. »

Le piratage auquel Stackoverflowin fait référence a eu lieu en mars 2016, quand le hacker surnommé Weev a déclenche une impression spontanée sur une centaine d’imprimantes, diffusant des messages antisémites.

N’ayant même pas son bac, le lycéen britannique annonce avoir fait son devoir en ce qui concerne la sensibilisation des masses à la sécurisation des objets connectés.

Une relation déséquilibrée (malheureusement)

Un rapport publié la semaine dernière révèle le bilan désastreux en ce qui concerne la sécurisation des imprimantes. Les chercheurs ont également affirmé que ces terminaux pourraient être utilisés comme points d’entrée et de pivot lors de l’attaque des réseaux d’entreprise.

Pour protéger les imprimantes connectées à Internet, il suffit de vérifier qu’elles puissent être accessibles depuis l’extérieur uniquement au travers d’un protocole sécurisé.

Problème résolu, vous allez me dire. Oui, mais… non.

Les dépenses IoT font l’objet d’une croissance épatante (3 fois plus rapide que sur les marchés TIC classiques). Aujourd’hui il s’agit d’une attaque ciblant 150 000 imprimantes, qu’est ce qui nous dit que d’ici peu, ce nombre ne sera pas de l’ordre du million ? La vérité est que nous nous sommes engagés, sans nous en rendre compte, dans une relation déséquilibrée avec l’IoT. Cependant, nous sommes encore très loin d’un niveau de sécurité satisfaisant dans ce domaine.

Cependant, l’année 2016 a marqué le début d’un mouvement encore faible, mais toutefois bénéfique dans notre rapport aux les dispositifs smart. La publication du document « Les principes stratégiques dans la sécurisation de l’IoT » par le Département américain de la sécurité intérieure et le NIST (Institut national des normes et de la technologie) est un des exemples des efforts émergents dirigés par les organismes gouvernementaux.

Le NIST fait partie du Département du commerce des États-Unis. Au fil des années, l’agence a exercé une influence positive sur de nombreux aspects de la cybersécurité. Nous espérons que cette démarche – et de nombreuses autres dans le monde – nous aidera à progresser en 2017, en travaillant vers l’objectif de sécuriser notre vie numérique contre ceux qui rallient la technologie à leurs sombres desseins.

 

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply