Au Mobile World Congress 2017 qui se tient à Barcelone, on s’interroge sur la sécurité des smartphones et objets connectés en général.
Un nouveau cas de piratage d’un fabricant de jouets connectés vient d’être révélé, celui des bases de données clients de la société américaine CloudPets : plus de 800 000 comptes exposés, 2,2 millions d’enregistrements de voix d’enfants et de leurs parents exposés, des cybercriminels ayant eu accès à toutes ces informations… Hello Barbie, V-Tech… les piratages se font de plus en plus fréquents, en l’occurrence sur des jouets connectés. Mais, dans l’environnement domestique, bouilloires, machines à café, portes de garage, et réfrigérateurs sont aussi des cibles potentielles. Deux études dévoilées au MWC montrent bien chacune les dangers importants de cyberattaques sur les objets connectés en général, et les smartphones en particulier.
Avast a ainsi dévoilé les résultats de son enquête consacrée aux appareils connectés, parmi lesquels les webcams publiques et privées en Espagne, et plus particulièrement à Barcelone, ville d’accueil du MWC. Rien que dans cette ville, Avast a identifié plus de 22 000 webcams et baby phones vulnérables aux attaques, et donc susceptibles d’être utilisés par des cybercriminels pour diffuser en direct sur internet des vidéos récupérées. Cette étude a également permis de recenser plus de 493 000 objets connectés à Barcelone, et 5,3 millions dans toute l’Espagne. Ces chiffres comprennent notamment des bouilloires, des machines à café, des portes de garage, des réfrigérateurs, des thermostats et d’autres appareils qui, connectés à Internet, peuvent très facilement être hackés par des personnes malveillantes.
Transformer les appareils piratés en botnet
Les pirates peuvent aisément espionner et hacker les visiteurs du MWC, affirme l’éditeur, ainsi que les résidents de Barcelone dans des espaces publics et privés, et diffuser des vidéos les concernant en ligne. Ils pourraient également décider de transformer les appareils piratés en bot. Avec des centaines voire des milliers d’objets vulnérables à leur disposition, les cybercriminels ont en effet la possibilité de créer un botnet en vue d’attaquer et de prendre le contrôle de différents serveurs et sites web. Lorsqu’un appareil est infecté, il peut servir pour en attaquer d’autres, les ajouter à un botnet ou encore en prendre le contrôle pour nuire à leurs utilisateurs. Cela comprend les équipements de cuisine et autres appareils ménagers auxquels les cybercriminels peuvent donner des ordres à distance, comme par exemple, chauffer l’eau dans une bouilloire.
« Si une webcam est paramétrée sur Livestream par exemple, des hackers ou tout autre individu peuvent s’y connecter. Ce qui signifie que les cybercriminels sont en mesure d’espionner très facilement d’innocents visiteurs du MWC, au même titre que des étudiants, des employés ou des passants situés à proximité, confie Vince Steckler d’Avast. Ceci pose en soi un souci de confidentialité important, mais la situation sera encore plus délicate si un hacker décide de pirater des objets non sécurisés pour les transformer en bot. S’ils sont ensuite intégrés à un botnet étendu, ils pourraient être utilisés pour lancer des attaques coordonnées contre des serveurs afin de prendre le contrôle de sites web importants. Il se peut également qu’à l’avenir les cybercriminels soient capables de collecter des données personnelles, comme des numéros de carte de crédit, auprès d’utilisateurs de l’IoT qui ne se méfieraient pas. »
Dans le cadre de cette enquête, Avast a identifié :
Plus de 5,3 millions d’appareils connectés vulnérables en Espagne, dont plus de 493 000 rien qu’à Barcelone ;
Plus de 150 000 webcams vulnérables en Espagne, et plus de 22 000 à Barcelone ;
Plus de 79 000 bouilloires et machines à café connectées vulnérables en Espagne ;
Plus de 444 000 appareils en Espagne utilisant le protocole réseau Telnet, détourné par des pirates informatiques pour créer le botnet Mirai qui a attaqué Dyn en 2016 et a rendu des sites internet inaccessibles tels que Twitter, Amazon ou Reddit.
« Pour un cybercriminel, il est aujourd’hui très simple de trouver des bases de données reprenant les failles récurrentes de nombreux appareils, et il n’y a pas besoin d’avoir une vaste expertise pour faire les liens nécessaires et identifier ceux qui sont vulnérables, explique Vince Steckler, PDG d’Avast. Et même si ces objets sont protégés par un mot de passe, les hackers parviendront bien souvent à y accéder en testant des combinaisons de noms d’utilisateurs et mots de passe jusqu’à ce qu’ils parviennent à les cracker.
4 000 applications malveillantes retirées de Google Play
De son côté, le nouveau rapport d’Intel Security (Mobile Threat Report) sur les menaces ciblant les objets connectés, et dévoilé lors de ce même MWC, pointe du doigt les applications mobiles et révèle que plus de 4 000 applications potentiellement malveillantes ont notamment été retirées de Google Play au cours de l’année écoulée. Pourtant, plus de 500 000 appareils utilisent toujours ces applications, indique le rapport, exposant leurs utilisateurs à certaines vulnérabilités et à d’importants risques de sécurité.
42 % des Français avouent ne pas savoir vérifier si l’un de leurs appareils connectés a déjà été corrompu.
A lire aussi : Eviter les poupées et robots connectés?
Piratage : après VTech, au tour d’Hello Kitty ?
Le piratage de VTech relance les discussions autour de la sécurité des objets connectés
