Objets connectés, une inquiétante menace pour Internet (2016)

English

Nous avions déjà des inquiétudes en constatant l’effrayante légèreté de certains concepteurs d’objets connectés en matière de sécurité, et en observant cette déferlante de nouveaux gadgets conçus avec les meilleures intentions du monde par des gens pas nécessairement compétents en vulnérabilité logicielle. De récents événements prouvent qu’il y avait vraiment de quoi être alarmé.

Jusqu’alors, au registre des piratages d’objet connectés, c’était souvent l’intimité des utilisateurs qui se retrouvait exposée au grand jour. Nous nous souviendrons avec effroi de ces caméras connectées qui utilisaient sans aucune sécurisation (aucun mot de passe !) le protocole Real Time Streaming (port 554) pour partager leur flux vidéo. Grâce au robot du moteur de recherche Shodan qui explorait Internet à la recherche de ports 554 ouverts, le monde a pu se rendre compte de l’étendue des dégâts. S’il y avait un flux vidéo et pas de mot de passe, un script capturait une image. C’est ainsi que nous avons pu, un peu gênés, observer des photos prises aux quatre coins du monde, dans des chambres d’enfants, des maisons, des garages, des jardins, des garderies, des salles de classe, des bureaux, des magasins, et même dans des plantations de cannabis. Nous pouvons estimer qu’il y a aujourd’hui encore des millions de ces webcams pernicieuses connectées à Internet et autant d’utilisateurs ignorants de la menace qui pèse sur leur intimité, et parfois leur sécurité.

Depuis peu de temps, une nouvelle menace encore plus inquiétante a vu le jour. Certains avaient anticipé ce genre d’attaques, mais on n’avait eu jusqu’alors aucun cas concret pour en prouver la faisabilité. Ces deux dernières semaines, deux affaires différentes, mais simultanées, montrent que les objets connectés sont à présent enrôlés dans des botnets, les plus agressifs qu’Internet n’ait jamais eu à connaître.

L’hébergeur OVH attaqué par des webcams

OVH, l’un des plus importants hébergeurs au monde, a été victime d’une attaque par déni de service (DDoS) de très grande ampleur. Il y a une semaine, un botnet constitué de 145 607 caméras s’est attaqué au réseau d’OVH. Chaque caméra peut produire un flux de données de 1 à 30 mégabits par seconde, et la totalité de ce botnet peut générer facilement une attaque DDoS représentant plus de 1,5 térabit par seconde (10¹² bit/s). Le 20 septembre, l’hébergeur a connu une attaque à 990 gigabits par seconde. C’est un record mondial. Une semaine plus tard, lundi dernier, OVH a observé que 6 857 nouvelles caméras s’étaient ajoutées à ce botnet. Heureusement, l’infrastructure de ce géant de l’hébergement a bien tenu le choc.

Pour mémoire, la célèbre attaque DDoS menée en 2000 par le montréalais Michael Calce, alias Mafiaboy, qui avait mis les serveurs de Yahoo à genoux, représentait un débit inférieur à 1 gigabit par seconde. L’attaque de 2013 contre Spamhaus, à l’époque qualifiée d’historique, était de 300 gigabits par seconde.

KrebsOnSecurity réduit au silence par l’IoT

Brian Krebs est un journaliste et expert en cybercriminalité reconnu. Son blogue KrebsOnSecurity est lu par toutes les personnes qui s’intéressent à la sécurité informatique. À partir du 20 septembre et les jours qui suivirent, le blogue a connu une attaque DDoS avec des pointes à 620 gigabits par seconde. Cette agression numérique était probablement une vengeance après la publication par Brian Krebs de plusieurs articles au sujet de vDOS, un service d’attaques par déni de service créé par deux jeunes israéliens. Malgré l’ampleur de l’attaque, le blogue est resté accessible grâce à la générosité de l’entreprise Akamai Technologies qui depuis des années offrait gratuitement à Krebs son service de protection contre les attaques DDoS.

Cependant, après plusieurs heures, l’attaque ne montrant aucun signe d’affaiblissement, Akamai a envoyé à Krebs un avis l’informant que la société allait interrompre son service de protection dans deux heures, car protéger KrebsOnSecurity.com représentait maintenant pour elle un coût bien trop considérable. Brian Krebs a alors débranché son serveur, plutôt que voir la charge alors absorbée par le réseau d’Akamai se rediriger sur son hébergeur, demandant une redirection sur 127.0.0.1. Le déni de service prenait la forme d’un outil de censure particulièrement efficace, KrebsOnSecurity ayant disparu du Web.

Comme dans le cas d’OVH, on a rapidement fait le lien avec l’IoT (Internet of Things). Les agents de l’attaque étaient en partie des objets connectés. Au mois d’août, Sucuri avait détecté une attaque conjointe de 47 071 adresses IP dont les agents étaient des caméras connectées (IoT CCTV Botnet), des routeurs domestiques (IoT Home Routers Botnet, en l’occurrence principalement des routeurs Huawei, mais pas que…) et des serveurs Web compromis (possiblement un WordPress Botnet). L’attaque contre KrebsOnSecurity était exactement du même genre : des webcams, des routeurs et des enregistreurs numériques vidéo (DVRs). 2016 aura vu ainsi la naissance des attaques mixtes d’une ampleur inégalée, lancées de botnets multiplateformes reposant tout ou partie sur l’Internet des objets, contrôlés par un unique opérateur.

Symantec a déjà recensé une douzaine de famille de logiciels malveillants (malware) qui s’attaquent aux systèmes Linux de l’IoT, et qui sont souvent compilés (Cross Compilation) pour de nombreuses architectures différentes : x86, ARM, MIPS, MIPSEL, PowerPC, SuperH, SPARC, etc. La même entreprise note que ça ne requiert souvent vraiment pas grand-chose pour exploiter des objets connectés, tellement ils sont mal conçus. Ce qui ouvre la porte à de gigantesques attaques avec des approches peu sophistiquées, à la portée de pirates de bas étage et demain du “script kiddie”, brisant les reins des serveurs les plus puissants et portant atteinte à la liberté d’expression. La démocratisation de la censure est en marche.

Finalement, KrebsOnSecurity est revenu en ligne le 25 septembre grâce au soutien de l’une des rares entreprises capables de résister, autant techniquement que financièrement, à des attaques aussi lourdes : Google (Project Shield). Mais tout le monde n’est pas Brian Krebs et ne bénéficiera pas de la protection gratuite d’une grande entreprise en cas de menace… Combien d’auteurs, de journalistes, peuvent payer jusqu’à 200 000 dollars par an à Akamai ou autre pour protéger leur blogue ?

IoJ, Internet of Junk

Force est de constater que l’IoT ressemble trop souvent dans la réalité à l’IoJ (Internet of Junk), une gigantesque armée d’objets troués de failles de sécurité, qui ne sont souvent ni monitorés ni mis à jour, et qui n’attendent qu’à se faire complaisamment enrôler dans un réseau criminel. Il est inévitable que plus il y aura d’objets connectés, plus l’ampleur des attaques sera impressionnante, au point de menacer Internet dans son ensemble.

Très prochainement, à votre insu, votre réfrigérateur fabriquera de la cryptomonnaie, votre grille-pain enverra des spams, votre aspirateur distribuera des virus et votre téléviseur mènera des attaques par déni de service. Vous trouverez que Netflix et YouTube sont un peu lents et vous blâmerez votre fournisseur de service Internet.

L’année dernière, l’industrie a répondu à cette problématique en créant l’IoT Security Foundation, dédiée au partage des savoirs et des bonnes pratiques. C’est un premier pas. Mais cela est-il suffisant ? Rien ne peut aujourd’hui empêcher un fabricant de proposer des objets non sécurisés ou comportant d’importantes failles — les faits nous le prouvent tous les jours —, et la protection des consommateurs est embryonnaire ou quasi inexistante dans la plupart des pays. Brian Krebs conclut : “Je ne sais pas ce qu’il faudrait faire pour réveiller la communauté d’Internet de sa léthargie pour qu’elle apporte une réponse à cette menace croissante pour la liberté d’expression et le commerce électronique. Je pense qu’il faudra une attaque qui met en péril des vies humaines, met en panne des systèmes d’infrastructure vitaux, ou perturbe des élections nationales.”

IoT, a Real Threat to the Internet

We already had security-based concerns about the rampant ubiquity of new gadgets enthusiastically developed by connected object developers with the best of intentions and scant awareness of software vulnerability issues. Recent events have unfortunately proven us right.

Up until now, hackers of connected objects have tended to expose hapless users’ private lives for the whole world to see. It turns out that innocent people actually connect unsecured cameras (without even a password!) using Real Time Streaming (port 554) protocol to share their video stream. Throw in Shodan, a search bot that prowls the Internet in search of just such unsecured 554 ports, and their fate is sealed. When Shodan finds a video stream with no password, a script captures images, and the rest of the world guiltily views shots of children’s rooms, houses, garages, backyards, daycares, classrooms, offices, stores, and even grow-ops. It is thought that stealth webcams connected to the Internet number in the millions, making at least as many users dangerously unaware of the threat to their privacy and even safety.

But that’s not the worst thing: a new, even more sinister threat is now abroad. Some doomsayers had foretold this kind of attack, but until now, there was no evidence to support its feasibility. Over the last couple of weeks, two unrelated yet simultaneous incidents have shown that connected objects are now embedded in botnets of the most aggressive kind.

OVH attacked by webcams

OVH, one of the world’s largest Web hosts, was the victim of a massive distributed denial-of-service (DDoS) attack. A week ago, a botnet made up of 145,607 cameras targeted OVH’s network. Since each camera can generate a data stream of 1 to 30 megabits per second, the entire botnet can fire at a rate of over 1.5 terabits per second (10¹² bit/s). On September 20, OVH experienced an attack of 990 gigabits per second, a world record at the time. One week later, on Monday, OVH noted that 6,857 new cameras had been added to the botnet. Happily, the Web host giant’s infrastructure withstood the attack.

For the record, the infamous DDoS attack launched in 2000 by Montrealer Michael Calce, alias Mafiaboy, which crippled Yahoo’s servers, amounted to less than 1 gigabit per second. The 2013 attack against Spamhaus, historic at the time, was just 300 gigabits per second.

KrebsOnSecurity Silenced by IoT

Brian Krebs is a respected cybercrime journalist. His blog, KrebsOnSecurity, is read the world over by IT security buffs. On September 20, and over the next few days, Krebs’ Web site was the target of a sustained DDoS attack, peaking at 620 gigabits per second. The digital attack was probably an act of reprisal for Krebs’ publication of several articles on vDOS, a DDoS service set up by two Israeli youths. Despite the violence of the attack, Krebs’ blog remained accessible thanks to the generosity of Akamai Technologies, which had been providing Krebs with free DDoS protection for years.

After several hours of a stalwart defence, Akamai had to inform Krebs that, due to mounting costs, it would be forced to end its protection of KrebsOnSecurity.com within two hours. Faced with the choice of unplugging his server or seeing the attack, which was being absorbed by Akamai, redirected to his own server, Krebs pulled the plug and requested a redirect to 127.0.0.1. Denial of Service proved to be an effective censuring tool: KrebsOnSecurity dropped off the Web.

As was the case for the OVH attack, the Internet of Things was quickly singled out. Indeed, some of the attack agents were actually connected objects. In August, Sucuri detected a joint attack of 47,071 IP addresses whose agents were connected cameras (IoT CCTV Botnet), domestic routers (IoT Home Routers Botnet, mostly, but not exclusively, Huawei routers…) and compromised Web servers (possibly a WordPress Botnet). The attack against KrebsOnSecurity was nearly identical: webcams, routers and digital video recorders (DVR). 2016 will go down in history as the year of unprecedented joint attacks launched by multiplatform botnets rooted partly or entirely in the Internet of Things and controlled by a single operator.

Symantec has already catalogued a score of malware families targeting Linux’s IoT systems and cross-compiled for a variety of architectures: x86, ARM, MIPS, MIPSEL, PowerPC, SuperH, SPARC, etc. Linux itself has said that it doesn’t take much skill to manipulate connected objects, due to flawed design. Their design is so poor, in fact, that they are wide open to the clumsiest large-scale attacks. Two-bit hackers (and soon “script kiddies”) can easily overwhelm powerful servers and quash freedom of expression. The democratization of censure is coming.

In the end, KrebsOnSecurity came back on-line on September 25 thanks to the support of one of the few companies with the financial and technical wherewithal to fend off such wholesale attacks: Google (Project Shield). But unless you’re Brian Krebs, don’t count on free protection from a large company in case of attack… The rest of us – authors, journalists, bloggers, etc., fork over up to $200,000 per year to Akamai and others to protect our blogs.

Internet of Junk

The Internet of Things has morphed into the Internet of Junk (IoJ), a giant mass of objects riddled with security flaws that are never monitored or updated and are ripe for recruitment by crime networks. And the more objects are connected, the greater the potential scale of the attacks, to the point where the entire Internet could be taken down.

In the not-too-distant future, your fridge will do cryptocurrency mining, your toaster will send spam, your vacuum cleaner will spread viruses and your television will launch Denial-of-Service attacks. You’ll notice Netflix and YouTube running slowly, but you’ll blame it on your Internet service provider.

Last year, in an attempt to address the issue, the industry created the IoT Security Foundation, dedicated to the sharing of knowledge and best practices. This development, though welcome, may not be sufficient. Currently, anyone can sell unsecured or flawed connected objects — as we have seen —, and consumer protection is weak or non-existent in most countries. Brian Krebs concluded, “I don’t know what it will take to wake the larger Internet community out of its slumber to address this growing threat to free speech and ecommerce. My guess is it will take an attack that endangers human lives, shuts down critical national infrastructure systems, or disrupts national elections.”