Il y a quelques semaines, on assistait à une attaque importante contre DynDNS, menant à une indisponibilité d’un grand nombre de sites. À la base de cette attaque, non pas des humains ou leur PC, mais toutes sortes d’objets connectés à Internet, ce que l’on appelle Internet des Objets. Des chercheurs en sécurité ont fait une démonstration des faiblesses de ces objets, à l’aide d’un drone.

inspireeeeeee2

Après l’attaque massive d’il y a 2 semaines, des chercheurs de l’université de Halifax, au Canada, ont publié un moyen de pirater des objets connectés utilisant le protocole de communication sans-fil Zigbee, qui est utilisé dans divers équipements relatifs à la domotique.

 

Piratage à distance avec un drone

Dans la vidéo accompagnant la publication des chercheurs canadiens, on peut ainsi voir qu’ils se servent d’un drone (un Inspire de DJI) pour infecter des objets connectés sans-fil, ici des ampoules. Ceci est possible grâce à une faille créée par des bugs d’implémentation dans le protocole Zigbee Light Link, et plus particulièrement dans la partie Touchlink de la spécification. Cela lui permet alors de télécharger un virus dans les ampoules connectées et d’en prendre le contrôle, ce qui donne la capacité d’allumer ou d’éteindre les lumières à volonté par l’attaquant.

 

Vers un futur bien sombre pour l’IoT ?

Si dans ce cas les « attaquants », sont des chercheurs en sécurité et n’ont pas de volonté de nuire à la cible attaquée, cela révèle encore une fois l’état catastrophique de la sécurité dans le domaine des objets connectés. Ceux-ci n’étant souvent pas vitaux, tel que les ampoules ici, contrairement à par exemple, le serveur de données d’une entreprise, mais sont pourtant le premier maillon dans des attaques comme nous avons pu voir contre DynDNS.

En effet, si ces ampoules sont capables de communiquer avec l’extérieur sur Internet, et peuvent être aisément infectées par un attaquant avec de mauvaises intentions cette fois-ci, alors rien ne pourra empêcher que ce genre d’objets puisse servir dans des attaques de grande ampleur tel qu’on l’a vu contre Dyn.

 

Un sursaut nécessaire des constructeurs

Dans les conclusions de leur publication scientifique, les chercheurs indiquent que dans ce cas précis, pour se protéger d’une attaque, il faudra remplacer toutes les ampoules connectées du bâtiment attaqué. Mais au-delà de ça, il faudra une forte volonté tant de la part des fabricants de puces (tel que NXP, qui vient d’ailleurs d’être racheté par Qualcomm, qui veut justement se lancer dans le marché de l’IoT) que des produits finis, afin de développer et commercialiser des produits qui ne seront pas responsables d’attaques massives contre Internet.

Lien Youtube
Chaine Youtube FrAndroid