Ajouter un commentaire

Par :
Andrei Petrus

lun, 20/08/2018 - 15:40

C'est triste, mais Internet est devenu une zone de cyberguerre, une guerre dans laquelle les consommateurs, les entreprises et les gouvernements sont tous ciblés, sans distinction. Et parce qu'ils sont au cœur de l'écosystème Internet, les fournisseurs d'accès à Internet (FAI) sont des cibles privilégiées.

Internet ne fonctionne plus. Cette idée, tirée de la science-fiction mais pourtant bien réelle, a laissé tout le monde sans voix en 2016, l'année des attaques par déni de service les plus dévastatrices de l'histoire d'Internet. Des pannes de courant puissantes ont paralysé les fondations d'Internet : les plus grands opérateurs téléphoniques et hébergeurs au monde ont ainsi été mis K.O. avec leurs clients, des sites parmi les plus visités au monde. Ces attaques massives, rendues possibles par la domotique, ont été à l'origine de pertes financières et liées à la réputation, évaluées en millions de dollars, pour toutes les parties impliquées.

Peut-on se permettre de laisser Internet défaillir à nouveau ?

C'est triste, mais Internet est devenu une zone de cyberguerre, une guerre dans laquelle les consommateurs, les entreprises et les gouvernements sont tous ciblés, sans distinction. Que ce soit pour la compétitivité, pour des intérêts politiques, du cyberactivisme ou des gains financiers, les cyberattaques ont assailli leurs victimes avec une force et une sophistication jamais vues auparavant. Et parce qu'ils sont au cœur de l'écosystème Internet, les fournisseurs de service Internet sont des cibles privilégiées.

Les défis de sécurité de la domotique

Les fournisseurs de service se sont engagés dans un rude combat avec l'arrivée de la domotique. La prolifération des appareils électroménagers connectés a affaibli la cybersécurité de manière générale, alors que des millions d'appareils sont proposés aux consommateurs, avec des mots de passe très faibles, aucun chiffrement des données en transit, des mécanismes défectueux d'authentification et l'absence d'autres systèmes de défense. Ces appareils se connectent régulièrement aux réseaux de la maison ou de l'entreprise, et deviennent par conséquent des points d'entrée faibles sur toutes les données sensibles transmises sur ces réseaux.

Un scénario apocalyptique s'est déjà produit, affectant des millions de clients. Les routeurs à domicile et d'autres appareils connectés compromis ont formé un réseau d'appareils infectés « zombies » et lancé des attaques par déni de service sophistiquées sur des cibles stratégiques comme l'opérateur allemand Deutsche Telekom, l'hébergeur OVH et la société d'infrastructure Dyn.

Le piège du côté pratique

Le nombre d'utilisateurs et de secteurs tirant parti de la technologie connectée ne cesse d'augmenter, attirés par des coûts de plus en plus faibles, une bonne efficacité et des applications dans une variété de secteurs. D'ici 2025, on estime que 100 milliards d'objets connectés pourraient être fabriqués. Cependant, plus de 70 % des appareils connectés contiennent une forme de vulnérabilité de sécurité, avec notamment (et ce n'est pas exhaustif) :

  • Des combinaisons identifiant-mot de passe faibles, vulnérables face aux attaques par force brute.
  • Un chiffrement inexistant des données. Lors de la configuration, l'identifiant et l'adresse MAC de l'appareil sont parfois transmis en texte brut, tandis que la communication entre l'appareil et son application Web est transmise sans être chiffrée vers les serveurs du fabricant.
  • Les appareils sont livrés avec un protocole de communication préinstallé (client Telnet) aux identifiants de connexion faibles ou par défaut.

Cette faiblesse de la sécurité résultant de la conception permet aux pirates de s'introduire dans des gadgets et de reprogrammer leurs fonctionnalités premières. Ainsi, les webcams, les jouets connectés et les babyphones connectés ont été largement utilisés pour espionner les enfants, au sein même de la maison, et il y a plus d'une chance sur quatre que votre télé connectée espionne toute la famille à l'heure actuelle.

Une fois introduit sur le réseau du domicile, un pirate expérimenté peut également intercepter le trafic non chiffré y compris vos identifiants de comptes en ligne, les images et des données bancaires sensibles. Il peut également accéder à des logiciels malveillants ou les installer sur d'autres ordinateurs et objets connectés au sein des réseaux personnels compromis.

Le coût réel pour les FAI

Imaginons un foyer typique dans lequel vivent trois personnes, chacune possédant 5 objets connectés (smartphone, bracelet de fitness, montre connectée, etc.). Cela fait 15 appareils par foyer. Si un fournisseur de service Internet compte 1 million de foyers dans son réseau, cela fait 15 millions d'objets connectés. Basé sur le chiffre ci-dessus, sur ces 15 millions d'appareils, 10,5 millions d'appareils seraient exposés à des cyberattaques. 2,1 millions de particuliers risquent de voir leurs données personnelles dérobées. Pour les fournisseurs de service Internet, ce sont 2,1 millions de poursuites potentielles pour chaque million de foyers. Ou une action collective en justice bien ficelée !

En cas d'interruption de service majeure, un FAI qui compte 1 million de foyers peut s'attendre à un coût supplémentaire de 1 million d'euros en service client supplémentaire, assistance téléphonique d'urgence pour faire face aux réclamations des clients et heures supplémentaires payées à son personnel technique.

Sans compter les coûts liés à la réputation et la crédibilité entachées du fournisseur. 75 % des utilisateurs n'achèteront pas le produit d'une entreprise s'ils pensent qu'elle ne protège pas leurs données. En supposant une augmentation du taux d'attrition de 1 % sur une période de quatre mois, un fournisseur de service Internet pourrait perdre jusqu'à 400 000 abonnés. Si l'on estime le revenu moyen par utilisateur à 40 €, cela se traduit par une perte de recettes d'1,6 million d'euros pour une seule attaque par DDoS.

Les interruptions de service causées par une violation de la sécurité ou une cyberattaque entraînent également des pénalités pour ne pas avoir respecté les accords sur le niveau de service (SLA). Les amendes sont généralement liées à la durée d'indisponibilité du service ayant dépassé la garantie de performance stipulée dans les SLA.

« Nous pouvons affirmer sans trop de risque que les opérateurs téléphoniques risquent de perdre des millions dans l'éventualité d'attaques à grande échelle sur la domotique dans les maisons connectées. Les FAI ne peuvent plus se permettre de les laisser prendre de l'ampleur sans bouger. » 

A propos de l'auteur

Andrei Petrus
Directeur IoT d'Avira

Plus d'information sur les formats de texte

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-) 
 L     ZZZZZ  N   N  N   N  U   U 
 L        Z   NN  N  NN  N  U   U 
 L       Z    N N N  N N N  U   U 
 L      Z     N  NN  N  NN  U   U 
 LLLL  ZZZZZ  N   N  N   N   UUU