L’Internet des Objets et la Fête des pirates

Black Hat Europe 2019
© Black Hat

C’est la fête des Chapeaux Noirs en ce moment. Si vous n’êtes pas familier, ou familière, avec l’argot des pirates informatiques, rappelons rapidement que ceux-ci se désignent sous les termes de “Chapeaux Blancs” ou “Chapeaux Noirs” (“White Hats” ou “Black Hats” en VO).

Les Chapeaux Blancs sont vertueux et respectent la loi : ils contournent les systèmes, certes, mais pas pour leur usage personnel. Ce sont essentiellement des lanceurs d’alerte. Ils collaborent fréquemment avec les autorités. Ils préviennent les administrateurs, les entreprises et les sites pour les aider à corriger leurs failles avant qu’elles ne soient utilisées… par les Chapeaux Noirs qui, de leur côté, s’infiltrent dans les réseaux pour voler, désorganiser, détourner ou, tout simplement, mettre le bordel.

Amnesia 33 Forescout Black Hat
Cérémonie d’ouverture du Black Hat 2019 à Londres © Black Hat

En ce moment se tient la Black Hat Conference 2020 dans son édition européenne, entièrement en ligne pour des raisons évidentes. Malgré son nom, il ne s’agit pas d’un rendez-vous des hackeurs les plus mal famés de la planète, mais bien d’un événement dont le but est d’aider les secteurs publics comme privés à s’en protéger.

C’est le porte-voix qu’a choisi la société Forescout pour dévoiler 33 failles critiques liées à l’Internet des Objets, regroupées dans une communication baptisée Amnesia:33. Failles qui permettent, décrypte Lily Hay Newman pour Wired, “l’interception d’informations, le déni de service, et même la complète prise de contrôle. Ce sont des gammes entières qui sont concernées : senseurs et lumières de maisons connectées, lecteurs de codes-barres, réseaux informatiques d’entreprises, systèmes d’automatisation de bâtiment, jusqu’aux équipements de contrôle industriel.” Le plus : ces failles sont identifiées dans divers protocoles de connexion, ce qui affecte donc… des millions d’objets, distribués par plus de 150 revendeurs identifiés à ce jour.

Le plus drôle dans l’affaire, si l’on veut en rire, c’est que si, techniquement, ces failles sont faciles à corriger, dans les faits, ça tient de la folie furieuse : “Amnesia:33 touche de nombreux stacks [des ensembles de logiciels, NdlR] qui ne sont pas détenus par des sociétés uniques, mais développées en open-source [c’est-à-dire que leur code est public, et non breveté, NdlR bis], et publiées sur des plateformes collaboratives, comme GitHub ou SourceForge : dès lors, de nouvelles variantes apparaissent sans cesse, de façon inévitable. […] Ces vulnérabilités peuvent donc se répandre dans de nombreux codes, au sein des équipes de développement, des entreprises et des produits, puisque ces stacks constituent en eux-même la base d’autres logiciels, systèmes d’exploitation, systèmes sur puce et autres modules intégrés à l’origine de milliers d’objets“, explique Forescout dans son rapport disponible en ligne.

Autrement dit, tracer les objets affectés par ces failles critiques tient de l’impossible, du fait de la multiplicité des industriels concernés. Et une fois identifiés, les protéger n’est pas plus simple : les constructeurs sont si nombreux, et si divers dans leur fonctionnement, qu’ils ne sont pas tous en mesure de déployer les correctifs appropriés. Parce qu’ils ne gardent pas tous trace de toutes les étapes de développement d’un produit, parce qu’ils ont fait faillite, parce qu’ils n’ont pas les moyens humains de remonter la piste de tous les codes qu’ils ont développés, ou financiers de développer tous les “patches” nécessaires.

Certes, ici, nous ne fantasmons pas sur l’effondrement et n’imagions pas arriver le cataclysme informatique planétaire pour autant. Au fond, ce type de fragilités sont attendues, dans un tel bouleversement technologique mondial. Mais Amnesia:33 est surtout le prétexte de rappeler qu’avec cette nouvelle phase de connectivité, les processus se complexifient encore plus, les échanges deviennent plus obscurs encore, et le désordre généralisé s’accroit.

“La difficulté vient surtout, mais pas seulement, des fabricants qui n’ont pas ou peu d’accès aux données de leurs fournisseurs”, rappelle ainsi Brad Ree, Directeur Technologie du regroupement industriel ioXT dans une interview à SC Media. “Ces problèmes pourraient avoir des conséquences pour des années. En outre, certains producteurs pourraient faire banqueroute, se tourner vers d’autres produits ou en délaisser certains, et laisser les consommateurs dans le brouillard quant aux moyens de se protéger de ce genre de piratage informatique“. 

Une nouvelle qui pourrait donc, au choix, ralentir un peu le déploiement de l’Internet des Objets, dont les bénéfices semblent nettement plus évidents pour les industriels que pour les citoyens, ou réjouir tous les amateurs de chaos sur la planète (on sait qu’ils sont nombreux et, d’ailleurs, on les salue).