Le XXIe siècle. Ses voitures volantes, sa paix dans le monde, ses fours à réhydratation de pizzas, ses… ah bah non. Ses réseaux d’objets connectés qui viennent nous priver de Twitter et de Netflix toute une après-midi. Nettement moins glamour.
Mais pourquoi, comment ? Je vais vous vulgariser la situation. Et je parle bien entendu d’expliquer et de simplifier, pas d’insulter tout ça… même si, croyez-moi, ce n’est pas l’envie qui manque.

L’Internet of Things

L’Internet of Things, ou « l’Internet des objets » en français, c’est le sobriquet attribué à la toile qui se compose de tous les objets connectés dans le monde. Alors, évidemment, ça commence par l’évidence, tout ce qui est ordinateur et téléphone, mais ça s’étend aussi à d’autres dispositifs : les grosses machines industrielles, du matériel hospitalier, des caméras de surveillance pour le secteur professionnel par exemple, et pour les particuliers, des frigos, des toasteurs, des webcams, et parfois même pour les plus excentriques, des sex-toys ou des bouteilles de vin (si, si, « Kuvee », recherchez ça sur Internet si vous n’y croyez pas).

Au final on se retrouve avec une toile qui contenait en 2015 environ 15 milliards de dispositifs et dont la projection pour 2020 est de 200 milliards. Ça va, 200 milliards c’est pas grand-chose, c’est « juste » 25 objets intelligents par personne sur Terre. C’est trop bien, notre propre petit univers cyberpunk dans notre salon, alors, c’est qui les winners maintenant, hein les auteurices de SF du XXe siècle ?

… Pas nous, en fait. Les paillettes du futurisme jetées dans les yeux c’est beau ça brille, mais qu’est-ce que ça brûle et pique après coup ! Pour comprendre d’où vient cette horreur ophtalmonumérique, je vais parler d’une action beaucoup plus fréquente que l’on ne voudrait, un peu comme les sinusites ou les commentaires désobligeants sur YouTube.

 

Le DoS

Le DoS, « déni de service », est un type d’attaque informatique. Il y a plusieurs méthodes, et celle que je vais décrire est l’attaque par « SYN » qui fonctionne en exploitant le système de poignée de main. C’est une manière de connexion en trois parties. À chaque étape d’explication, j’utiliserai une des Métaphores Moisies de Mx Eris™ pour déterminer un équivalent similaire dans la Vraie Vie™ :

  • SYN : Demande de contact (par exemple « hello »)
  • SYN-ACK : Réponse à la demande (« hey »)
  • ACK : Confirmation de réponse reçue (« ravi·e de te rencontrer »), fin de la poignée de main.

Transposé dans la vraie vie ça pourrait donner :

Denial of Service

Ordi 1 : Salut
Ordi 2 : Hey t sexy 😉
Ordi 1 : ok ok

Mais si l’interlocuteur primaire n’envoie pas le message ACK, le second continuera d’envoyer le message SYN -ACK jusqu’à expiration d’un laps de temps défini.

Denial of Service

Ordi 1 : Salut
Ordi 2 : Hey t sexy 😉
Ordi 2 : Hey t sexy 😉
Ordi 2 : Hey t sexy 😉
Ordi 2 : Hey t sexy 😉
Ordi 2 : Hey t sexy 😉
Ordi 2 : Pff laisse tomber tu l’es pas tant que ça

Par exemple, ici, tant que l’on ne montre pas avoir accepté son “compliment” en répondant “ok ok” il insiste avec son “hey t’es sexy” jusqu’à expiration du délai.

Là où l’intérêt réside, c’est dans le fait que tant que le cycle n’est pas fini, une partie de la mémoire reste allouée à l’échange. Du coup le déni de service intervient quand les SYN se multiplient au point de saturer la mémoire de la cible, qui ne peut que répondre aux nouveaux SYN sans pour autant abandonner les précédents (le lien requête et ses réponses mis en évidence par les zigouigouis dans l’image suivante).

Denial of Service

Ordi 1 : Salut
Ordi 2 : Hey t sexy 😉
Ordi 1 : 🙂
Ordi 2 : Hey t sexy 😉
Ordi 2 : Réponds!
Ordi 2 : hey t sexy
Ordi 2 : Réponds!
Ordi 1 : .
Ordi 2 : hey t sexy
Ordi 2 : réponds
Ordi 2 : ECOUTE MOI

Nous venons donc d’effectuer un DoS à l’encontre de l’interlocuteur. En effet, pour le faire tourner en bourrique, au lieu de lui répondre “ok ok” (le ACK qu’il attend) on le trolle en lui envoyant d’autres demandes d’interactions avec nos “;)” et “.” (SYN) l’enjoignant à insister encore plus avec “réponds” et “écoute moi” (SYN ACK) sans jamais accepter ses propositions avec “ok ok” (ACK).

Cela signifie, dans le contexte informatique, que son processus de fonction habituel sera soit beaucoup plus difficile à réaliser, soit carrément impossible, et que les interactions avec des utilisateurices sincères seront donc perturbées. Malheureusement, dans la Vraie Vie™, les relous ne saturent pas et ne crashent pas quand on les DoS…

Avec les avancées en matière d’informatique, ce genre d’attaques est devenu rare car la mémoire des cibles a beaucoup augmenté et peut largement supporter le débit de sollicitation simultanées avant expiration du laps de temps défini, ce qui nous amène à l’attaque suivante.

 

Le DDoS

Le DDoS est un DoS mais « Distribué », avec plusieurs sources en même temps effectuant par exemple le déni de service mentionné plus haut. Cela sert souvent pour prévenir l’accès à un service ou à un site internet par exemple. Pour la nouvelle incarnation des Métaphores Moisies de Mx Eris™ imaginez une office du tourisme. Si des touristes se sont perdu·e·s et qu’un autre groupe de personnes décide d’aller poser des questions bidons à toutes les personnes de l’office, pour empêcher les touristes d’avoir accès au renseignement recherché, c’est un DDoS. Les raisons peuvent être vastes, que ce soit par pure envie de nuire, ou par volonté de punir les utilisateurs ou les fournisseurs de contenu, voire par refus de laisser les utilisateurs accéder à un contenu.

Évidemment, rassembler assez de personnes et de machines volontaires pour effectuer ce genre d’attaque peut s’avérer difficile donc la solution c’est [Roulements de tambours pour le suspense] :

 

Les Botnets

Bon, allez, une fois n’est pas coutume, c’est un nouveau moment Métaphores Moisies de Mx Eris™ (un jour je ferais un vrai jingle avec une musique et tout). Vous vous rappelez peut-être de ce trope de série TV jeunesse ou de dessin animé, où pendant la nuit surviennent des évènements étranges et on découvre en fait que c’était parce que certains membres de la famille du protagoniste se sont réveillés sous l’emprise d’un sort de l’antagoniste mais ne se souviennent plus de rien au petit matin ? Un botnet, c’est un concept similaire. Lorsqu’un appareil électronique se retrouve hacké, il peut être utilisé comme membre « zombie » dans une meute, qu’on nomme le botnet, à l’insu de son propriétaire, par exemple pour des DDoS. Comme The Walking Dead, sauf qu’au lieu de vouloir grignoter nos cerveaux, les zombies veulent nous priver de Twitter (plus dangereux et vicieux donc).

Le problème c’est que ça se répand de plus en plus mondialement, et qu’on a de plus en plus d’attaques DDoS par des botnets.
Pourquoi ? Flashback d’il y a 3 minutes quand vous lisiez ma première partie (je ne juge pas si vous avez décidé de faire une pause goûter ou prenez plus de temps pour lire, tout ça peut être ennuyeux).

Dans cette grande toile d’objets connectés, chacun des éléments a une puissance de calcul non négligeable. Et pourtant, ils sont négligés par les utilisateurices et vendeureuses. Du coup même lorsqu’on protège nos ordinateurs et nos téléphones plus ou moins correctement, on a tendance à délaisser les objets connectés, conserver les identifiants par défaut, les laisser en libre accès sur Internet. Est-ce que c’est dangereux ? AHAHAHAHAHAH oui.

Mais au cas où vous n’auriez pas suivi les news, donnons un exemple concret.

Grille pain connecté

Illustration de grille-pain connecté avec un sourire diabolique, des toasts « hello world » et un champignon atomique.

 

Mirai

Mirai, c’est le mot japonais pour dire “futur”, qui nous renvoie ironiquement à l’avenir que nous nous sommes préparé en laissant la situation nous échapper.

C’est aussi un botnet qui s’est contenté d’une attaque par dictionnaire pour se construire. Dans ce type d’attaque, on donne au programme un « dictionnaire » de paires [nom d’utilisateur / mot de passe], et pour chaque machine qu’il détecte sur le réseau il utilise chaque paire en espérant trouver celle qui permet de prendre le contrôle de la machine.

La taille de son dictionnaire était de 68 paires estimées fréquentes ou utilisées par défaut. Par exemple [user / password] ou [administrator / 123456]. Et pour les petits malins à l’humour beauf [Mother / f***er] (Je les vois rire. Je les juge. Je pourrais faire un article sur le système de valeurs qui fait qu’une paire comme ça soit si fréquente que des hackers considèrent qu’elle a sa place parmi les 68 plus à même de donner accès à un système mais bon, si vous avez lu le reste du site, cela devrait être plutôt évident).

On pourrait penser qu’avec juste 68 mots de passe, on serait tranquilles, le botnet serait minuscule, tranquille pépère etc. ?
100 000. 100 000 machines environ composent le botnet, dont 1 000 en France. Nous vivons à une époque où avec 68 mots de passe différents on peut se créer un circuit de cette magnitude. Un circuit qui se compose de toasteurs, de frigos et principalement de webcams et caméras de surveillance IP (Vous savez, le truc qui est censé nous protéger).

Au final, la force de ce circuit a pu être constatée quand Dyn, une compagnie qui se charge du DNS (le service qui permet à l’utilisateurice de juste taper l’URL d’un site dans la barre du navigateur et non l’adresse IP du serveur associé pour que ce soit plus simple) s’est fait frapper tellement fort que de nombreuses personnes à travers le globe ont perdu l’accès à Netflix, Twitter, et des sites d’actualité.

Tout ça met donc les choses en perspective. Plus l’IoT grandit, plus on s’expose à ce genre de situation. Il y a un grand problème car on assiste à une démocratisation des objets connectés sans sensibilisation aux risques encourus en parallèle. On construit le futur sur des bases fragiles, et on poursuit plus le côté gadget que le côté responsabilisant de ces objets.

Et à l’approche des fêtes c’est le moment de plus que jamais réfléchir à tout ça. Comme vous devriez réfléchir avant d’offrir un animal de compagnie, réfléchissez. Est-ce que vous, ou votre grand-père, avez vraiment besoin d’une machine à laver qui se lance depuis le PC et avec un écran pour écrire sur Facebook en même temps ?

(Et si vous répondez oui, votre vie m’intrigue, parlez-moi en en commentaire)

[Exit, pursued by a toaster]