Smartphones et objets connectés, nouvelles cibles des pirates

Les experts réunis mardi 24 et mercredi 25 janvier au forum international de la cybersécurité (FIC) à Lille ont observé en 2016 une hausse exponentielle de la menace des logiciels malveillants (malwares), qui s'attaquent à des cibles de plus en plus variées.

Ces logiciels peuvent s'introduire dans les smartphones sous forme de SMS avec un lien malveillant ou d'applications, souvent conçues pour ressembler à des jeux à succès.

"Au moment de la mode Pokemon Go, on trouvait dans les magasins d'applications, des applis qui s'inspiraient du jeu et qui étaient vérolées, c'est le cas d'autres jeux gratuits. Les gens ont du mal à penser que ça peut être un vecteur de contamination", souligne Nicolas Arpagian, directeur de la stratégie d'Orange Cyberdefense.

Une fois téléchargées, elles peuvent servir à de la fraude publicitaire ou à constituer un réseau d'objets connectés (botnet) utile aux pirates pour des attaques de déni de service (DDOS) qui bloquent des serveurs.

"On a eu de grosses attaques par déni de service en 2016, avec des malwares qui ont utilisé à l'insu de leurs utilisateurs des réseaux d'objets connectés" pour démultiplier leur puissance, explique Loïc Guézo, stratégiste cybersécurité Europe du Sud de Trend Micro,

La société Dyn, cible d'une de ces attaques massives, a indiqué que jusqu'à 100.000 objets connectés, smartphones, imprimantes, caméras de sécurité, avaient été mis à contribution pour l'attaquer en octobre.

Les serveurs de la société prestataire d'Amazon ou Netflix ont été saturés, bloquant temporairement les services de ses clients. Un type d'attaque aussi mis en oeuvre contre l'hébergeur français OVH.

Des TV connectées prises en otage

L'année 2016 a aussi vu une épidémie de logiciels rançonneurs (ransomwares), ces logiciels qui empêchent l'utilisateur d'avoir accès à ses fichiers tant qu'il ne paye pas une rançon. Des télévisions connectées ont ainsi été prises en otage en Asie, et bloquées dans l'attente d'une rançon.

"Il y a une consumérisation des modes d'attaques, on trouve des attaques disponibles clef en main, comme les fameux rançongiciels", qui sont revendus à des groupes criminels qui les exploitent, note Nicolas Arpagian.

"Tout ce qui est numérique peut être attaqué, de nombreux objets connectés ne sont pas construits avec un souci de sécurisation, c'est comme si on construisait des véhicules sans ceinture ou airbag", avertit Gérôme Billois, un responsable du cabinet de conseil Wavestone.

Des associations de consommateurs européennes se sont émues que certains jouets connectés comme la poupée "Mon amie Cayla" et "i-Que" étaient susceptibles de se transformer en "espions" en herbe, contrôlables à distance par un téléphone portable. Mais c'est aussi le cas des caméras installées dans les chambre d'enfants si elles ne sont pas paramétrées.

Les systèmes de sécurité des voitures sont couramment piratés pour les vols, mais les historiques de navigation peuvent aussi être aisément acccessibles.

Et le champ d'action des pirates pourrait encore s'élargir: "Ces dernières années, nous assistons à une recrudescence d'attaques ciblant les systèmes automobiles, inévitablement les pirates commenceront en parallèle à s'intéresser aux autres systèmes autonomes, comme les voitures sans conducteur en centre-ville, le bouton Amazon ou les drones en entreprise", prévient Alexandre Delcayre – directeur Avant-Ventes Europe du Sud chez Palo Alto Networks, dans une note.

Mais c'est dans le domaine de la santé que les risques sont les plus inquiétants.

"Le risque sur les données de santé est sous-estimé", souligne Gérôme Billois. Des vols de données de laboratoires se sont déjà produits et pourraient rendre publiques des informations biologiques - grossesse ou pathologies - de patients ou encore perturber le fonctionnement d'hôpitaux, explique-t-il.

Environ 14.000 patients diabétiques d'Amérique du Nord ont été alertés en octobre par le laboratoire Johnson & Johnson d'un risque de piratage d'un de ses modèles de pompe à insuline.

Un collaborateur de la société de cybersécurité Kaspersky a annoncé avoir réussi à pénétrer dans le système informatique de son hôpital, au cours d'une opération test autorisée par la direction.

(Avec AFP)