Les Hackers adorent le Linky!

Un article très complet publié par LE PARISIEN, le 1er avril 2016.

LE PARISIEN MAGAZINE.

Il y a un cyberpirate dans la maison !
De la télé à la poupée, les objets du quotidien seront bientôt tous connectés. Une aubaine pour les hackers, nous avertissent les auteurs d’un essai dont nous publions des extraits en exclusivité.

Stéphane Loignon | 01 Avril 2016, 09h15 | MAJ : 01 Avril 2016, 15h53 Alex Green

Anand Prakash, 22 ans, aurait pu pirater votre compte Facebook. Cet informaticien indien a décelé, il y a quelques semaines, une fragilité dans le réseau social lui permettant de prendre possession de n’importe quel profil. Heureusement, il en a informé le groupe américain, qui a corrigé le tir et lui a offert 13 000 euros de récompense.

Rien ne résiste plus aux hackers, ces petits génies de l’informatique. Or tous n’ont pas, comme Anand, de bonnes intentions. L’an dernier, 177 300 cyber-offensives ont eu lieu chaque jour dans le monde, selon Internet Live Stats (+ 38 % par rapport à 2014). Les données personnelles et bancaires en particulier suscitent la convoitise des pirates, dont le terrain de jeu s’est élargi grâce au développement des objets connectés – frigos, drones, montres... « Plus on est connecté, plus on est vulnérable », rappellent Blaise Mao et Thomas Saintourens (collaborateur de notre magazine), qui consacrent un essai à ces nouvelles menaces (lire ci-dessous). Soyons vigilants : comme le prouvent ces extraits, les attaques surgissent désormais là où on ne les attend pas !

Le babyphone devient fou
« “Allez bébé, réveille-toi ! Aaaahhhhh !” Il est minuit à Cincinnati (Ohio) quand Heather et Adam Schreck sont réveillés en sursaut par une voix masculine qui rugit dans leur appartement. A l’instinct, pour vérifier qu’Emma dort bien dans la chambre voisine, Heather saisit son smartphone, censé retransmettre les images de la caméra placée au-dessus du lit de leur fille de dix mois.
Emma apparaît bien à l’écran, la caméra bouge de façon louche. Adam se rue dans la chambre de la petite. La caméra pivote alors sur elle-même et se tourne littéralement vers le papa, avant de lui déverser un flot ininterrompu d’insanités. (...)

Terrorisé par cet épisode, le couple Schreck avouera en avril 2013 à la chaîne de télévision Fox 19 s’être senti “violé” par cette intrusion nocturne par babyphone interposé. Adam avait pourtant pris certaines précautions, comme l’ajout d’un mot de passe à son routeur (unité qui relie des réseaux entre eux, NDLR) ou l’installation d’un pare-feu sur l’appareil. Pas suffisant pour décourager le pirate voyeur, parvenu sans encombre à prendre le contrôle de la caméra fixée au lit de la petite. Dans la foulée de l’incident, le constructeur développera une mise à jour censée éviter de nouveaux désagréments. Babyphones et caméras de surveillance figurent en bonne place au palmarès des objets connectés les moins sécurisés. »

La poupée se transforme en espionne

« Dotée d’un micro et d’un haut-parleur, connectable à Internet en Wi-Fi ou en Bluetooth, Hello Barbie, version connectée du jouet (...) Mattel, est capable d’enregistrer (...) ce que lui raconte sa propriétaire avant de lui répondre en utilisant l’une des milliers de phrases (...) stockées dans le service de cloud de ToyTalk, un éditeur de logiciels de reconnaissance vocale (...).

“Les employés de ToyTalk et les sociétés partenaires écoutent les enregistrements des conversations de vos enfants, or ToyTalk ne veut même pas révéler qui sont ces partenaires”, se sont inquiétés les
activistes antipub du collectif Commercial-Free Childhood. (...) Pas de quoi rassurer les parents inquiets, d’autant que la société Bluebox Security a découvert une faille non corrigée dans le serveur de ToyTalk et remarqué que l’application nécessaire pour activer la poupée se connecte automatiquement à tout réseau Wi-Fi contenant le mot “Barbie” dans son nom. (...)

En décembre 2015, c’est l’éditeur de logiciels pour enfants VTech qui est victime, à son tour, d’une faille de sécurité entraînant le piratage de cinq millions de comptes clients et de 200 000 “profils” d’enfants. Soit, dans le même panier, des numéros de cartes bleues, associés à des mots de passe et des dates d’anniversaire... mais aussi des conversations audio captées directement depuis les jouets (...). »

La télévision écoute les conversations

« En 2013 (...), plusieurs hackers ont démontré à quel point il est simple de prendre le contrôle de la caméra et du micro d’une smart TV pour espionner son propriétaire à son insu, et ce quand bien même l’appareil est éteint...

Deux ans plus tard, et malgré la mise sur le marché d’une nouvelle génération d’appareils censés être plus robustes et sécurisés, les téléviseurs connectés continuent d’inquiéter.

Les constructeurs eux-mêmes incitent les usagers à la plus grande prudence. En février 2015, Samsung – pourtant numéro un mondial du secteur – incitait les acheteurs de ses télés connectées à ne pas discuter de sujets trop sensibles devant leur poste. »

Le compteur électrique trafique les factures

« En janvier 2012, des hackers allemands membres du Chaos Computer Club (CCC) avaient démontré que certains types de compteurs électriques (...) étaient faciles à détourner, notamment pour simuler une consommation d’électricité nulle. (...)

Quand on sait qu’EDF prévoit de déployer son compteur intelligent Linky dans l’ensemble des foyers français d’ici à 2020, il y a de quoi se faire du souci.

“Le compteur Linky, on a réussi à en prendre le contrôle en seulement trois heures”, lance fièrement Philippe Wolf, chef de projet à l’institut de recherche technologique (IRT) SystemX de Saclay, convaincu qu’à l’avenir, “il y aura des fraudes à la facturation”.»

Sur la route aussi, le piratage nous menace-

en quelques clics, la voiture est volée

« Une technique (...) fait des ravages. Baptisée “vol à la souris” (...), elle consiste à utiliser des boîtiers électroniques vendus quelques dizaines d’euros pour ouvrir et faire démarrer une voiture sans effraction.

Une manipulation qui a permis de dérober six mille voitures à Londres en 2014, soit 42 % des vols de véhicules, selon les statistiques de la police métropolitaine. Un taux de “vols connectés” qui monterait, en France, jusqu’à 74 % du total des larcins lors du premier trimestre 2015, contre 63 % en 2014. »

Le feu tricolore perd la boule

« En 2014, (...) Cesar Cerrudo, directeur technique de IOActive Labs, est parvenu à perturber momentanément le trafic à Londres, New York ou encore Melbourne et Lyon (...).

Conclusion : une simple intrusion depuis un ordinateur portable situé à une distance raisonnable d’un feu de signalisation (...) permettrait au moindre hacker (...) débrouillard de réaliser son propre remake de Die Hard 4 (film de 2007 dans lequel des signaux lumineux de New York sont piratés, NDLR)...

Les recherches de l’Argentin montreront que pas moins de 200 000 feux de signalisation à travers le monde ne sont que partiellement ou pas du tout sécurisés. »

La Jeep n’en fait qu’à sa tête
« Alors qu’Andy Greenberg file sur l’autoroute bordant les gratte-ciel de Saint-Louis (Missouri), les essuie- glaces décident de balayer le pare-brise en vitesse accélérée, à grand renfort de produit lave-vitre, obstruant son champ de vision. Puis l’autoradio se déclenche sans que le pilote n’ait esquissé le moindre geste. Une chanson hip-hop à volume maximum sature l’habitacle (...). Une voix (...) lui indique la suite du programme : la prise de contrôle totale de son véhicule à distance. (...) Le voilà qui roule au ralenti, en pleine autoroute : à 90 km/h sur la voie de droite, Andy Greenberg devient le spectateur impuissant de sa Jeep. (...)

Le conducteur, journaliste au magazine américain Wired et cobaye volontaire (...), se met à supplier les deux hackers qui ont pris le contrôle de sa voiture. (...) Ils ont prouvé, par cette séquence filmée, à quel point il est simple (...) de prendre le contrôle à distance d’une voiture aujourd’hui disponible sur le marché. (...)

Les résultats de leur piratage et les failles révélées seront transmis à la maison mère de Jeep – la marque Fiat Chrysler – pour une mise à jour des modèles potentiellement détournables. Pas moins d’1,4 million de voitures du marché américain recevront quelques jours plus tard une clé USB avec un correctif du système (...). »

Connections dangereuses:

Pédagogique et fourmillant d’anecdotes, cet essai dresse un état des lieux alarmant des cyber-attaques qui touchent les entreprises, les Etats et les individus. Toujours plus inventifs, les pirates ont sans cesse un coup d’avance. Heureusement, des solutions existent pour limiter les risques (lire l’encadré page suivante).

> Cyber fragiles, de Blaise Mao et Thomas Saintourens, Tallandier, 304 p., 18,90 €.

Quelques règles simples permettent dʼéviter bien des pièges.
Fini, les mots de passe bateau. « Ils doivent contenir plus de treize caractères et mêler lettres, chiffres, symboles (arobase ou dollar), accents... », conseille le journaliste Blaise Mao, coauteur de lʼessai Cyber fragiles. « Evitez votre date de naissance, le prénom de votre fils ou de votre conjoint. Optez pour un terme improbable. Et surtout, nʼutilisez pas le même mot de passe pour plusieurs sites ! »
Gare aux réseaux Wi-Fi non sécurisés. En voyage, les réseaux Wi-Fi des hôtels et des bars sont aussi pratiques que peu sûrs. A exclure si votre smartphone ou votre ordinateur contiennent des informations confidentielles.
Nʼacceptez pas nʼimporte qui comme ami. Après le second tour de lʼélection présidentielle de 2012, un hacker malveillant a réussi à espionner lʼElysée en devenant ami sur Facebook avec un haut fonctionnaire, à qui il a envoyé un lien vérolé. Une technique classique.
Prudence face à certains messages. Vous recevez un message dʼun de vos amis sur Facebook ou sur votre boîte mail, mais la formulation ne lui ressemble pas. Il sʼest peut-être fait pirater son compte et vous êtes le prochain sur la liste si vous cliquez sur le lien ou la pièce jointe indiquée.
Attention aux clés USB qui traînent. Une des plus simples méthodes employées par les pirates est de laisser traîner une clé USB qui contient un virus. Alors si vous en trouvez une dans la rue, jetez-la !