Skip to Main Content

Paranoïa domotique – Avec ma caméra connectée, je me sens surveillé(e)

Les caméras de surveillance font depuis longtemps sensation dans la révolution domotique des maisons et entreprises connectées en continu. Après tout, la possibilité de savoir ce qui se passe chez soi, grâce à un objet connecté peu coûteux, est une proposition qui en séduit plus d’un. Mais qui nous surveille ? Les chercheurs ont démontré que vous n’êtes pas le seul à surveiller l’activité de votre caméra : les pirates aussi.

Un chiffre « simplement intéressant » ? Pas tout à fait.

La sécurité est l’une des applications les plus populaires des objets connectés, à commencer par les caméras en domotique. Gartner, l’un des plus grands cabinets de conseil et d’étude, estime que le nombre total d’objets connectés pourrait atteindre 8,4 milliards en 2017, une montée en flèche de 31 % par rapport à 2016. Cela signifie que le nombre de ces appareils dépasse de loin le nombre d’êtres humains sur notre planète (7,5 milliards) : un chiffre qui en dit long. 

Peu sécurisé par nature

Un nombre considérable d’objets de l’IoT ou objets connectés – y compris les caméras de surveillance – sont par nature peu sécurisés. Il n’est pas forcément possible de renforcer leur sécurité car ils ont été conçus avec des noms de compte et des mots de passe codés en dur qui ne peuvent être modifiés. Cette approche transforme la « sécurité » en une vaste faille qui n’attend qu’à être exploitée. De nombreux appareils oublient également la pratique de sécurité de base qui consiste à inviter l’utilisateur à modifier les paramètres lorsqu’il utilise l’appareil pour la première fois. Et même lorsqu’il est possible de modifier les mots de passe, les gens préfèrent ne pas le faire. C’est comme modifier vos paramètres WiFi : même lorsqu’on vous donne le choix, vous n’avez pas envie de vous y atteler. 

C’est la catastrophe

Des chercheurs avaient déjà constaté plusieurs cas de caméras de surveillance connectées spécifiques ayant été piratées ou sabotées. Avant, ils étaient des cas généralement isolés, concernant un appareil spécifique ou un réseau en particulier.

Le lancement de Mirai en 2016 a radicalement changé la situation. Ce malware scanne Internet pour trouver des appareils connectés qui sont uniquement « protégés » par les paramètres par défaut. Une fois qu’il a trouvé ces appareils, ceux-ci sont enrôlés dans un botnet et prêts à exécuter les ordres d’un chef suprême très mal intentionné. Comme l’explique KrebsonSecurity, la « liste de cibles » de ce botnet comprend près de soixante-dix combinaisons d’identifiants et de mots de passe utilisés par les fabricants. Certaines entreprises utilisent les mêmes paramètres par défaut pour toute leur gamme de produits. 

Monsieur, c’est quoi un DDoS ?

En général, Internet fonctionne comme une salle de classe : un élève pose une question, le professeur répond. Quand beaucoup d’élèves ont des questions, ils doivent attendre leur tour, et le rythme ralentit un peu. Mais dans le cas d’une attaque par déni de service distribué (DDoS) avec Mirai, c’est comme si le grand chef suprême prenait un stade rempli d’objets connectés et leur ordonnait de harceler le professeur de requêtes incessantes jusqu’à ce que le professeur ou que l’école n’en puisse plus et jette l’éponge.

Mirai donne à Internet une bonne leçon

Après avoir enrôlé des milliers, voire des millions d’objets connectés dans son botnet, Mirai a lancé la plus vaste attaque DDoS jamais vue dans l’histoire d’Internet. En octobre 2016, l’attaque contre Dyn a perturbé l’accès à Internet dans la majeure partie des États-Unis. Elle a peut-être aussi engagé la responsabilité de certains fournisseurs d’accès à Internet lorsque Dyn a découvert que certains hébergeaient les appareils de ce botnet. Qu’en est-il pour les particuliers qui possédaient ces appareils piratés ? Nous ne savons pas encore ce qu’impliquerait une multiplication de ces attaques. Les FAI envisageront-ils de pénaliser leurs clients pour les méfaits commis par leurs appareils ? 

La sécurité commence à la maison

Le premier paradoxe lié à l’attaque Dyn est qu’elle a été causée en grande partie par de petits appareils domotiques non sécurisés comme les caméras de surveillance. Le second est qu’il est quasiment impossible pour un utilisateur de savoir si ses appareils sont sécurisés ou s’ils ont été enrôlés dans une armée de botnet. À l’heure actuelle, le seul moyen de le savoir est de faire une recherche en ligne sur les problèmes liés à un modèle ou à un fabricant en particulier. Dans le cas des appareils en marque propre – conçus par un fabricant et vendus sous une variété de noms de marques – la vraie identité peut être profondément cachée sous le capot.

Alors soyez attentif lors de votre prochain achat d’appareil connecté. Avez-vous pensé à sécuriser le réseau, et pas seulement à y connecter des appareils ? Après tout, qui voudrait que sa nouvelle caméra soit prise en flagrant délit dans le lancement de la prochaine grande attaque DDoS de l’Histoire ?

Cet article est également disponible en: Italien

Avira souhaite que ses clients vivent 'libérés' des spywares, phishing, virus et autres menaces basées sur internet. La société a été créée il y a 25 ans sur la promesse de son fondateur Tjark Auerbach de « concevoir un logiciel qui réalise de belles choses pour mes amis et ma famille ». Plus de 100 millions de consommateurs et de petites entreprises font maintenant confiance à l'expertise d'Avira en matière de sécurité et à son antivirus primé, faisant de l'entreprise le numéro deux mondial en termes de parts de marché.