L'Internet des objets (IoT en abrégé) offre un monde interconnecté d'appareils sans fil. Les fabricants et les détaillants vantent rapidement la commodité de contrôler votre maison, votre voiture, vos appareils médicaux et vos jouets à partir d'un smartphone ou d'un ordinateur.
Mais ils sont moins enclins à divulguer les effets secondaires. Voici un aperçu de plusieurs incidents effrayants rendus possibles par des appareils connectés à Internet.
Une minute, vous regardez le football. Le lendemain, une émission d'urgence avertit que des missiles balistiques intercontinentaux se dirigent vers trois parties différentes du pays. La télévision ne cesse de diffuser le match et, d'après les informations, rien ne se passe. Votre enfant se cache sous le tapis, terrifié, pendant que vous et votre conjoint essayez de comprendre ce qui se passe.
C'est arrivé à une famille vivant à Orinda, en Californie. Le coupable? La caméra de sécurité Nest installée au-dessus de leur téléviseur. Quelqu'un a eu accès aux identifiants de connexion de l'appareil et a décidé de faire une farce. Laura Lyons a décrit l'incident comme "cinq minutes de pure terreur" au Mercury News.
Les incidents signalés de telles farces ont augmenté à mesure que les gens achètent des caméras compatibles Wi-Fi auprès de Nest et d'autres sociétés. Un couple de Houston aurait entendu une voix dans la chambre de leur bébé menacer de kidnapper leur enfant.
Parfois, lorsque vous ne pouvez pas accéder à un site Web, c'est parce que quelqu'un a merdé quelque part. D'autres fois, c'est parce que le site souffre d'une attaque par déni de service distribué (DDoS). Un appareil puissant, ou un réseau d'appareils, arrive sur le site avec plus de trafic qu'il ne peut en gérer.
Vers la fin de 2016, une attaque DDoS massive a ciblé les systèmes exploités par le fournisseur de système de réseau de domaine Dyn. Le travail de Dyn consistait à connecter l'adresse Web que vous entrez dans votre navigateur Web avec l'adresse IP qui pointe vers un site Web.
La fonctionnalité DNS étant bloquée, les utilisateurs ne pouvaient pas accéder à des dizaines de sites de haut niveau tels qu'Amazon, GitHub, Netflix, Twitter et Zillow. Vous vouliez savoir ce qui se passait ? Vous ne pouviez pas non plus visiter les sites de la BBC, de CNN ou de Fox News.
À l'époque, il s'agissait du plus grand DDoS jamais enregistré. Le coupable était un botnet géant d'appareils IoT infectés par le malware Mirai. C'est vrai, vous n'avez pas besoin de posséder un seul appareil IdO pour que leur mauvaise sécurité vous cause des problèmes.
Les appareils IoT semblent simples. Cela fait partie de leur argument de vente :simplifiez-vous la vie en achetant un produit plus facile à gérer. Mais pour se connecter à Internet, ces produits doivent disposer de tout le code nécessaire, tout comme un ordinateur ordinaire.
Le fait est que, bien que le système d'exploitation de votre ordinateur portable fasse des efforts pour protéger vos données, le code de la plupart des appareils IoT ne le fait pas.
Comme l'ont découvert Limited Results, une ampoule LIFX Mini blanche ne fait aucun effort pour protéger le réseau Wi-Fi et le mot de passe que vous avez fournis lors de la configuration. Au lieu de cela, il enregistre les données en texte brut (le format utilisé par un éditeur de texte, tel que le Bloc-notes Microsoft).
Quiconque trouve l'ampoule à la poubelle ou en vole une dans un luminaire extérieur peut accéder à votre réseau domestique.
Lorsque vous dirigez une entreprise, vous devez non seulement protéger vos propres données, mais également celles de vos clients.
En 2018, un casino a subi une violation de sa base de données depuis un lieu inattendu. Selon un rapport de Business Insider, des pirates ont réussi à accéder au réseau du casino via un thermomètre intelligent qui surveillait l'eau d'un aquarium dans le hall.
Une fois que les pirates ont eu accès au réseau, ils ont trouvé la base de données high-roller et ont téléchargé les données via la connexion cloud du thermomètre. Cette base de données a montré qui étaient les plus gros dépensiers et d'autres détails privés.
Il y a quelques années, les haut-parleurs intelligents étaient un concept novateur. Désormais, les appareils Amazon Echo, Google Home et Apple HomePod sont installés sur les étagères des foyers du monde entier.
Ces appareils offrent des fonctionnalités similaires. Ils donnent aux propriétaires la possibilité d'obtenir des bulletins météorologiques, de rechercher des informations factuelles, de jouer de la musique et de contrôler certaines parties de leur maison. Vous interagissez avec ces gadgets en utilisant votre voix.
Pour détecter votre voix, ces appareils doivent écouter en permanence. Les entreprises promettent la confidentialité, mais il y a eu plusieurs cas d'intervenants enregistrant et téléchargeant des conversations privées.
Dans un tel cas, une station d'information de la région de Seattle a couvert une femme à Portland qui a reçu un appel téléphonique d'un contact téléphonique aléatoire qui recevait un enregistrement de son Amazon Echo.
Celui-ci est effrayant non pas pour ce qui s'est passé, mais pour ce qui aurait pu se passer. En 2017, la FDA a confirmé que les dispositifs cardiaques implantables de St. Jude présentaient des vulnérabilités qui auraient pu être piratées. Comme l'a rapporté CNN, le problème résidait dans l'émetteur qui partageait à distance les données de l'appareil avec les médecins.
Si un pirate exploitait la vulnérabilité et accédait à l'appareil, il pourrait épuiser la batterie, modifier le rythme ou administrer des chocs. Les appareils destinés à prévenir les crises cardiaques pourraient aggraver les choses.
Heureusement, St. Jude a publié un correctif. Pourtant, tant que les appareils restent connectés à un réseau, le risque existe. En ce qui concerne les appareils liés au cœur, les enjeux sont particulièrement importants.
Lorsque vous achetez une nouvelle voiture, la connectivité Internet est souvent l'une des fonctionnalités les plus vantées. Votre voiture peut télécharger des cartes, diffuser de la musique ou servir de point d'accès pour les autres appareils de votre véhicule.
Malheureusement, les constructeurs automobiles ne savent pas comment sécuriser leurs véhicules ou ne se soucient pas assez d'investir les fonds nécessaires. Dans tous les cas, votre vie est en danger.
Des pirates ont montré à un journaliste de Wired comment il était possible de prendre le contrôle à distance de certaines parties d'une Jeep. Ils ne se limitaient pas non plus aux fonctionnalités évidentes liées à Internet. Depuis le confort de leurs ordinateurs, ils pourraient désactiver les freins du véhicule.
Ce n'est qu'un cas parmi d'autres. Voici d'autres dangers terrifiants des voitures autonomes.
Dans les années à venir, le nombre d'appareils connectés à Internet devrait augmenter par milliards. À mesure que de plus en plus d'appareils mal sécurisés entrent dans la nature, vous pouvez vous attendre à ce que davantage de personnes en profitent.
La situation est devenue si grave que le gouvernement japonais est prêt à pirater ses propres citoyens pour les alerter de la gravité de la situation. En février 2019, le pays a commencé à sonder 200 millions d'adresses IP à la recherche d'appareils dans le pays avec peu ou pas de sécurité.
Des sujets comme l'Internet des objets peuvent être difficiles à comprendre. Le moyen le plus simple de rester en sécurité est d'éviter les gadgets qui se disent "intelligents" et d'en savoir plus sur ce qu'est réellement l'Internet des objets.