L’une des tendances les plus inquiétantes en 2016 a été la décision de certains de s’adonner aux activités suivantes : prendre en otage des systèmes informatiques ou des fichiers de données (rançongiciels); empêcher l’accès à des données ou à des systèmes (déni de service distribué ou DDoS); infecter des appareils connectés à l’Internet des objets (IdO).
Malheureusement, je crois que ces tendances continueront à évoluer en 2017, et qu’il y a risque que ces différentes méthodes soient combinées. Il serait par exemple possible d’utiliser des appareils connectés pour extorquer de l’argent aux sites Web commerciaux en menaçant de lancer une attaque par DDoS ou de les verrouiller pour demander une rançon. J’ai baptisé ce phénomène jackware, ou logiciel de détournement.
Menaces passées et futures
Faire un mauvais usage des systèmes d’information pour extorquer de l’argent remonte pratiquement aux débuts de l’informatique. En 1985, un employé des technologies de l’information pour une compagnie d’assurance a programmé une bombe logique pour qu’elle efface des dossiers essentiels s’il devait être renvoyé. Cela s’est produit deux ans plus tard et, par conséquent, la bombe a supprimé les dossiers, ce qui a entraîné la première condamnation pour ce type de délit informatique.
L’OBJECTIF DES LOGICIELS DE DÉTOURNEMENT EST DE VERROUILLER VOTRE AUTOMOBILE OU UN AUTRE APPAREIL JUSQU’À CE QUE VOUS PASSIEZ À LA CAISSE. »
Les logiciels malveillants utilisant le chiffrement pour prendre des fichiers en otage et exiger une rançon ont été découverts en 1989, comme le raconte David Harley. En 2011, mon collègue Cameron Camp a décrit la prise d’otage par verrouillage d’ordinateurs comme une « toute nouvelle bassesse ».
Comment ces différents éléments évolueront-ils ou se combineront-ils en 2017? Certaines personnes ont nommé 2016 « l’année des rançongiciels ». Pour ma part, je redoute que 2017 devienne « l’année des logiciels de détournement ».
Considérez les logiciels de détournement comme des maliciels qui tentent de prendre le contrôle d’un appareil dont la fonction principale n’est ni le traitement de données ni les communications numériques. Un bon exemple serait les « voitures connectées », comme le sont plusieurs modèles récents. Ces voitures traitent un grand nombre de données et permettent de communiquer, mais leur but premier est de vous amener du point A au point B.
Les logiciels de détournement seraient donc une forme particulière de rançongiciel. Avec les rançongiciels classiques comme Locky ou CryptoLocker, un programme malveillant encode les documents sur votre ordinateur et exige une rançon pour les décoder. L’objectif des logiciels de détournement est de verrouiller votre automobile ou un autre appareil jusqu’à ce que vous passiez à la caisse.
Imaginez un peu : par un matin d’hiver glacial, j’utilise une application sur mon téléphone pour démarrer ma voiture à distance dans le confort de ma cuisine. Toutefois, l’automobile ne démarre pas. Je reçois plutôt un message texte me disant que je dois verser un montant quelconque dans une devise numérique pour réactiver mon véhicule. C’est ainsi que pourrait se dérouler une attaque par logiciel de détournement du point de vue de la victime. Heureusement, et permettez-moi d’insister sur ce point, à ma connaissance, les logiciels de détournement demeurent pour le moment théoriques. Ils ne circulent pas encore « dans la nature ».
Il n’est pas facile d’empêcher le développement et le déploiement des logiciels de détournement, ce qu’illustrent certains événements passés. Nous avons déjà pu constater qu’un constructeur automobile a expédié plus d’un million de véhicules présentant des vulnérabilités dont auraient pu profiter des pirates : pensons au problème qu’ont connu certains modèles de Jeep de Fiat Chrysler, qui a fait les manchettes en 2015.
CETTE ANNÉE, ON A DÉCOUVERT DES BOGUES DANS L’APPLICATION EN LIGNE CONNECTEDDRIVE DE BMW, QUI RELIE LES VÉHICULES DU CONSTRUCTEUR À L’INTERNET DES OBJETS.
Tout aussi grave était le manque manifeste de planification de Fiat Chrysler Automobiles (FCA) en matière de correctifs lors du processus de conception de ces véhicules. C’est une chose que d’expédier un produit numérique et d’y découvrir des failles par la suite (en fait, c’est peut-être inévitable), mais c’en est une autre, beaucoup plus dangereuse, que d’expédier ce produit sans avoir prévu de moyen rapide et sécuritaire de corriger ces failles.
Même si la plupart des recherches et des discussions sur le piratage automobile se concentrent sur les problèmes techniques à l’intérieur du véhicule, il est important de réaliser qu’une grande partie de la technologie liée à l’Internet des objets dépend d’un système qui va bien au-delà de l’appareil. Nous avons pu l’observer en 2015 avec Vtech, un joueur important dans le secteur des objets connectés pour enfants. Des failles dans la sécurité du site Web de l’entreprise ont compromis les données personnelles de jeunes enfants, rappelant à tous le nombre de surfaces d’attaque créées par l’IdO.
Nous avons aussi vu ce même cas de failles d’infrastructure en 2016 lorsque certains comptes Fitbit ont rencontré des problèmes (précisons que ce ne sont pas les appareils en tant que tels qui ont été piratés, et que Fitbit semble prendre la confidentialité très au sérieux). Toujours dans la même année, on a découvert des bogues dans l’application en ligne ConnectedDrive de BMW, qui relie les véhicules du constructeur à l’IdO. L’application ConnectedDrive permet de régler le chauffage, l’éclairage et le système d’alarme de votre domicile de l’intérieur de votre véhicule.
AU DÉPART, JE CONSIDÉRAIS LES LOGICIELS DE DÉTOURNEMENT COMME UNE SIMPLE VARIATION D’UN CODE MALVEILLANT CIBLANT LES VÉHICULES. TOUTEFOIS, IL EST VITE DEVENU CLAIR QUE CE PHÉNOMÈNE POUVAIT AVOIR DE MULTIPLES RAMIFICATIONS.
L’idée que les fonctionnalités et les réglages d’un système embarqué pourraient être contrôlés à distance en piratant un portail est pour le moins troublante. Les incidents relatifs aux problèmes de sécurité Internet dans les automobiles se multiplient; pensons aux véhicules Mitsubishi équipés de la technologie Wi-Fi ou aux radios pouvant être piratées pour voler des BMW, Audi et Toyota.
Au départ, je considérais les logiciels de détournement comme une simple variation d’un code malveillant ciblant les véhicules. Toutefois, il est vite devenu clair que ce phénomène pouvait avoir de multiples ramifications : c’est ce qui arrive quand les rançongiciels et l’Internet des objets se rencontrent. Un incident qui donne froid dans le dos, survenu en Finlande, donne une idée de ce qui pourrait se produire (une attaque par déni de service distribué a coupé le chauffage dans deux édifices durant l’hiver en Finlande). Bien qu’aucune demande de rançon n’ait été signalée dans les rapports, il n’est pas difficile d’imaginer que ce pourrait être la prochaine étape. Vous voulez que nous cessions d’attaquer le système de chauffage? Payez-nous!
Enrayer le phénomène
Pour empêcher que l’IdO ne soit envahie par les rançongiciels, un certain nombre de choses doivent se produire dans deux sphères de l’activité humaine. Du côté technique, le grand défi est de mettre en place des mesures de sécurité sur les plateformes automobiles. Les techniques classiques, comme le filtrage, le chiffrement et l’authentification, nécessitent une puissance de traitement et une bande passante coûteuses et ajoutent du surdébit aux systèmes, qui doivent parfois fonctionner avec un court temps d’attente. Certaines techniques, comme l’isolement physique et la redondance, peuvent augmenter considérablement le prix des véhicules. Bien entendu, le contrôle des coûts a toujours été de la plus haute importance pour les constructeurs automobiles, et ce, jusqu’au dernier dollar.
La sphère politique est l’autre domaine où doivent être prises des mesures pour contrer les rançongiciels visant l’Internet des objets. Nous avons échoué collectivement à l’échelle internationale à empêcher l’infrastructure criminelle d’évoluer dans le cyberespace; nous faisons maintenant face à une menace qui peut s’attaquer à n’importe quelle innovation dans le domaine des technologies numériques, des voitures sans conducteur aux drones et des mégadonnées à la télémédecine. Par exemple, comme mentionné dans l’article Challenges and Implications of Cybersecurity Legislation (défis et conséquences de la législation en matière de cybersécurité), en 2016, les politiciens concernés n’ont pas réussi à faire adopter les lois nécessaires pour assurer la sécurité du réseau intelligent, même avec l’appui de tous les partis.
LES TECHNIQUES CLASSIQUES, COMME LE FILTRAGE, LE CHIFFREMENT ET L’AUTHENTIFICATION, NÉCESSITENT UNE PUISSANCE DE TRAITEMENT ET UNE BANDE PASSANTE COÛTEUSES.
Précisons que l’utilisation de termes comme « rançongiciels » et « logiciels de détournement » n’a pas pour but de provoquer la peur. Il s’agit simplement d’évoquer certaines choses qui pourraient se produire si nous n’agissons pas en 2017 pour empêcher qu’elles ne deviennent réalité. Par conséquent, laissez-moi terminer sur une note positive.
Tout d’abord, plusieurs agences gouvernementales redoublent d’efforts pour rendre l’IdO plus sécuritaire. En 2016, le département de la Sécurité intérieure américain a publié Strategic Principles for Securing the Internet of Things (principes stratégiques pour assurer la sécurité de l’Internet des objets), tandis que le NIST diffusait une publication spéciale.
Le titre complet de cette dernière est Systems Security Engineering Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems (considérations en matière d’architecture de la sécurité des systèmes pour une approche multidisciplinaire de l’architecture de systèmes fiables et sécuritaires). NIST signifie National Institute of Standards and Technology (institut national des normes et des technologies). Cette agence fait partie du département du Commerce américain et exerce depuis plusieurs années une influence positive en matière de cybersécurité. Espérons que ces efforts, ainsi que d’autres déployés dans le monde entier, nous aiderons à progresser en 2017, de sorte à atteindre notre objectif d’assurer notre sécurité en ligne et de nous protéger de ceux qui font un usage abusif de la technologie pour nous soutirer de l’argent.
Pour terminer, un indice que nous avons peut-être fait quelques progrès, au moins en matière de sensibilisation du public au fait que l’IdO peut entraîner autant de problèmes que d’avantages et de gains de productivité. Il s’agit d’une publication d’un tout autre ordre : les résultats d’une enquête menée par ESET auprès des consommateurs. Présentée sous le titre « Our Increasingly Connected Digital Lives » (des vies numériques de plus en plus connectées), l’étude révèle que plus de 40 % des adultes américains croient que les appareils connectés ne sont pas sécuritaires. En outre, plus de la moitié des répondants ont affirmé que des préoccupations en matière de sécurité et de protection de la vie privée les ont dissuadés d’acheter un appareil connecté.
Est-ce qu’ensemble, les attentes des consommateurs et la supervision des gouvernements pourraient persuader les entreprises de mieux protéger l’IdO? Nous le saurons peut-être en 2017.
Cet article est adapté du chapitre correspondant tiré du rapport d’ESET sur les tendances pour 2017, Security Held Ransom (La sécurité en otage).