Lundi, Proofpoint a démontré une attaque à grande échelle aboutissant à la constitution d’un botnet intégrant en partie des objets connectés (« thingsbot« ). Ce qui permet d’intégrer par exemple un frigo connecté ou un media center de salon numérique dans un réseau de systèmes zombies (PC mais aussi appliances) pour et d’initier une cyber-attaque (campagnes de phishing, spam…).
Pour l’éditeur de solutions de sécurité IT dans le cloud (historiquement protection de la messagerie), cette démonstration d’une exploitation poussée de l’Internet des objets dans une brèche de sécurité IT est une première dans le monde.
Entre fin décembre 2013 et début janvier 2014, cela a abouti à l’envoi de plus de 750 000 e-mails frauduleux, en provenance de plus de 100 000 équipements utilisés dans la vie au quotidien, comme des passerelles domestiques, des media centers, des télévisions connectées et au moins un réfrigérateur. Tous ces objets connectés ont servi de leviers (relais botnet) pour déclencher des cyber-attaques.
Cet assaut à partir des objets connectés est assez étonnant au regard de l’hétérogénéité des systèmes embarqués et de la configuration des objets connectés. « De nombreux appareils fonctionnent sous un système d’exploitation de type Linux (appellé BusyBox) », explique Ismet Géri, Directeur Europe du Sud de Proofpoint, contacté lundi après-midi par échanges de mails.
« Certains utilisent le service Apache ou mini-httpd, d’autres appareils fonctionnent avec des processeurs ARM ou MIPS et d’autres à base de chipsets Realtek (par exemple les media players). D’autres parient sur les consoles de jeux vidéo. On trouve également des appareils de type NAS (serveur de stockage en réseau). Une marque en particulier a ouvert le protocole Telnet, SSH et SMTP. Certains décodeurs télé ont également fait l’objet d’une exploitation. »
Dans le cas découvert par Proofpoint, le thingsbot n’a servi que de relais pour actionner des campagnes frauduleuses. Mais pourrait-on finalement viser directement les appareils connectés au point de les dérégler ? Ismet Géri considère que, par le biais d’un procédé « drive by download » (infection en consultant les pages Web d’un site Internet), il est déjà possible de prendre la main à distance d’un botnet. « Donc, cela est envisageable pour les thingsbots. »
On pourrait imaginer que ce thème de l’Internet des objets dépasse le domaine de prédilection de Proofpoint, qui se positionne comme un fournisseur de solutions de protection en mode hébergé (cloud) englobant la gestion des menaces, la conformité aux règlements, la gestion des données et les communications sécurisées.
Détrompez-vous. « Ce sujet entre totalement dans notre cœur de métier : la solution Targeted Attack Protection (TAP) permet de détecter pro-activement et de sécuriser tout type d’assaut émanant d’Internet via le canal e-mail », commente Ismet Géri. « C’est grâce à elle que nous avons pu démontrer cette attaque pour la toute première fois. »
Quiz : Connaissez-vous l’architecture RAID ?
Credit photo : Shutterstock.com – Copyright : asharkyu
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…