L’IoT et le jour où Internet est mort, presque

L’IoT et le jour où Internet est mort, presque

8 novembre 2022 Non Par Bricolage Plus

Il y a un peu plus d’une semaine, Internet a failli mourir.

À partir du jeudi 20 octobre, une grande partie des États-Unis et de certaines parties de l’Europe occidentale ont connu une panne massive. Certains des sites Web les plus populaires et les plus utilisés au monde sont devenus silencieux. Le pauvre Donald Trump n’a pas pu tweeter pendant quelques heures.

Et tout cela à cause des webcams et des lecteurs DVD bon marché… peut-être même l’un des vôtres.

Établir des connexions

Pour comprendre comment cela s’est produit, vous devez comprendre le fonctionnement des appareils de l’Internet des objets (IoT).

Si vous lisez ceci, vous avez une connexion Internet. Pour établir cette connexion, votre ordinateur ou votre smartphone doit disposer de trois éléments :

  • Un matériel conçu pour se connecter à Internet via un câble ou sans fil

  • Logiciel pour exécuter ce matériel, qui contient son adresse « IP » Internet unique

  • Un moyen de faire la différence entre les connexions autorisées et non autorisées

La dernière exigence est généralement remplie par un nom d’utilisateur et un mot de passe pour se connecter à votre fournisseur de services Internet. Mais il est également possible que d’autres appareils se connectent à distance à votre ordinateur via Internet – « connexions entrantes ». Certains d’entre eux sont bons (par exemple, les appels Skype entrants), et certains sont mauvais (pirates). Avoir des mots de passe pour les appareils IoT permet d’obtenir la même chose – mais seulement s’ils sont fort mots de passe.

L’industrie de la technologie a travaillé dur pour développer des techniques communes pour identifier et arrêter les connexions entrantes indésirables vers les ordinateurs. Les systèmes d’exploitation sont constamment mis à jour pour faire face aux dernières menaces. Les entreprises spécialisées ne font que surveiller les virus, bots, malwares et autres dangers et concevoir des logiciels pour les combattre. Des gars comme moi écrivent sur la façon dont vous pouvez maintenir une bonne hygiène numérique. C’est pourquoi nous avons beaucoup moins d’épidémies de virus qu’auparavant.

En ce qui concerne les connexions Internet, le matériel IoT a à peu près la même configuration. Mais il y a trois grandes différences.

La première est que la configuration du nom d’utilisateur et du mot de passe peut être difficile à modifier – elle peut même être câblée par le fabricant, comme cela semble avoir été le cas avec les appareils qui ont contribué à la récente panne d’Internet.

Une autre est que les appareils IoT sont toujours allumés et rarement surveillés. Contrairement à un ordinateur, ils pourraient être infectés et vous ne le sauriez jamais.

Surtout, il n’y a aucun effort collectif pour surveiller et empêcher le piratage des appareils IoT. Personne n’envoie de mises à jour de sécurité générales, comme un service antivirus McAfee ou Norton. Ils ne peut pas, car les appareils IoT sont tous différents. Il n’y a pas de langage ou de protocole commun qui pourrait traiter les menaces sur tous les appareils IoT à la fois.

Au lieu de cela, il appartient au fabricant de chaque appareil IoT de sécuriser l’appareil et de mettre à jour son « firmware » lorsque des menaces sont connues.

Nous avons essayé cette approche avec des ordinateurs… et ça n’a pas marché.

Comment cela a conduit à la panne de la semaine dernière

Lors de la récente panne, le matériel IoT fabriqué par un fabricant chinois – y compris les webcams de sécurité à domicile groupées bon marché que vous voyez annoncées chez Home Depot – a été piraté par quelqu’un utilisant un logiciel appelé Mirai. Il recherche sur Internet des gadgets IoT qui utilisent des mots de passe par défaut ou des mots de passe simples, les infecte puis les assemble dans un « botnet » – une collection d’appareils qui peuvent être conçus pour faire les souhaits du pirate.

Dans ce cas, ils ont demandé aux appareils IoT d’envoyer « des dizaines de millions » de demandes de connexion aux serveurs d’une société américaine qui fournit des informations cruciales sur le routage Internet. Débordés, les serveurs de l’entreprise ont planté… et avec eux, les pages Web de sites comme Twitter, Facebook, Le New York Times et d’autres.

Cela a été possible car le logiciel exécutant le matériel IoT chinois utilisait un seul nom d’utilisateur et mot de passe câblés pour tout d’entre eux – qui ne pouvaient pas être modifiés par l’utilisateur. Une fois que les pirates ont obtenu le nom d’utilisateur et le mot de passe, il était facile de les programmer pour faire ce qu’ils faisaient.

Roland Dobbins, ingénieur principal de la société de sécurité Internet Arbor Networks, attribue cela à l’incapacité des fabricants à travailler ensemble pour développer une approche de sécurité commune de l’IoT. Au lieu de cela, chaque entreprise poursuit ses propres conceptions et ignore l’expérience douloureuse de l’industrie du PC à cet égard.

« Je ne suis pas préoccupé par l’avenir, je suis préoccupé par le passé », a-t-il récemment déclaré. « Si je pouvais agiter une baguette magique, je ferais en sorte qu’il n’y ait plus d’appareils intégrés non sécurisés. Nous avons toujours un énorme problème; nous avons encore des dizaines de millions de ces appareils là-bas. »

Ne vous déconnectez pas de l’IoT

Cela signifie-t-il que les prédictions positives sur l’IdO sont erronées ?

Pas du tout.

Tout d’abord, des entreprises comme Samsung, qui prévoit de faire tout ses produits bientôt connectés à Internet, ont maintenant une incitation à développer des moyens de lutter contre cela. Sinon, nous n’achèterons pas leurs produits.

Deuxièmement, les consommateurs ne vont pas supporter une situation comme les anciennes guerres Betamax contre VCR – des approches concurrentes pour un besoin commun. L’IdO est un Plate-forme, comme Internet lui-même, et tout le monde doit être sur le même. Les fabricants vont s’asseoir et proposer des protocoles communs pour sécuriser les appareils IoT, même s’ils donnent des coups de pied et hurlent tout le long.

Troisièmement, les mêmes forces du marché qui ont produit Norton, McAfee, Kaspersky Lab et toutes les autres sociétés de sécurité dans le domaine informatique vont produire des solutions pour l’IoT. Et il y aura de l’argent à gagner en investissant dans ceux-ci ainsi que dans l’IoT lui-même.

En attendant, voici mon conseil. Obtenez des appareils IoT… mais seulement le haut de gamme. Évitez les marques bon marché produites en masse. Demandez aux vendeurs quels sont les protocoles de sécurité et si vous pouvez définir facilement votre propre nom d’utilisateur et mot de passe. Sinon, éloignez-vous. Ils auront la photo bien assez tôt.

Après tout, c’est ainsi que fonctionnent les « forces du marché » censé travailler.