Hélène Chauveau Responsable des Risques Emergents chez AXA

Comment mon frigo a fait tomber des centaines de sites web

Inside the Emerging Risks Room
5 juil. 2017

Pour prévenir les risques de demain, il faut les imaginer ! Dans cette série, nous confrontons trois experts à une crise imaginaire qui pourrait se produire dans 5 à 10 ans. Comment l’éviter ? Comment s’y préparer ? Comment en gérer les possibles retombées ? Réponses dans la Emerging Risks Room.

11 décembre 2022, 23 h 15, Paris. Paul Lambert ne peut retenir un bâillement. Il s’empare de la télécommande qui traîne sur son canapé et éteint sa télévision. A pas feutrés – toute la famille dort déjà –, il se dirige vers sa cuisine. Lorsqu’il ouvre la porte de son réfrigérateur pour se servir un verre d’eau, celui-ci émet son bip caractéristique. L’écran tactile, intégré à l’appareil, s’allume : « Manque : œufs, jus d’orange, poulet. Prochaine commande prévue le 13/12. Pensez à la valider avant le 12/12. » Sans même jeter un regard à l’écran qui lui propose désormais de valider sa prochaine liste de courses, Paul referme la porte du réfrigérateur. « Il faut que je pense à le faire demain », se dit-il en quittant la pièce. Ce que Paul ne sait pas, c’est que cet objet si pratique (« Comment on faisait avant ? », a-t-il d’ailleurs l’habitude de dire) va faire la une de l’actualité de ces prochaines semaines.

Au même moment, aux sièges de plusieurs entreprises, tous secteurs confondus, la tension est palpable dans les étages des directions générales. Des éclats de voix transpercent la paroi de la porte de la principale salle de réunion. Etonnant pour un dimanche. D’autant plus à cette heure avancée de la soirée.

Au fil de la discussion, on comprend qu’il n’est pas question ici des derniers résultats annuels, mais bien du blocage de leur site Internet. Avec, potentiellement, une intrusion dans les systèmes informatiques de l’entreprise. Ce qu’ils ne savent pas, c’est qu’une large part de leurs concurrents, mais aussi leurs partenaires voire leurs clients, sont dans le même cas qu’eux. Et ceux qui en ont conscience ne sont qu’une minorité.

Peu avant minuit, des centaines de sites ont été attaqués au même moment selon le même procédé : une multitude d’objets connectés – comme le frigo de Paul Lambert – ont été mis sous contrôle par un ou des hackers. Dans un premier temps, ceux-ci ont tenté d’en récupérer les données personnelles, de simples adresses e-mails aux coordonnées physiques en passant par les logs de connexions ou encore des enregistrements audio ou vidéo.

Dans un second temps – celui qui est en train de se dérouler –, les objets connectés ont servi de relais à une attaque par déni de service massive, DDoS pour les connaisseurs. Grâce à ces objets connectés, moins sécurisés que la plupart des serveurs traditionnels, les hackers surchargent les serveurs des sites visés pour les rendre inaccessibles. Voire, si possible, les mettre tout simplement hors service.

La plupart des responsables informatiques découvriront la nouvelle à leur arrivée lundi dans les locaux. Ou peut-être depuis chez eux, alerté par un message de leur responsable marketing apeuré à l’idée de voir les ventes online de la soirée frôler le 0.

Et pendant ce temps, le frigo de Paul Lambert poursuit son travail. Sans un bruit.

Conséquences
N°1 | Perte de confiance |

Montrés du doigt, les réfrigérateurs et autres objets connectés du quotidien connaissent un arrêt brutal des ventes.

N°2 | Impact financier |

Les consommateurs se détournent des enseignes touchées, dont le cours de bourse chute. Ils entraînent avec eux les principaux sites de vente en ligne.

N°3 | Class action |

Les personnes dont les objets connectés ont été piratés et dont des données personnelles ont été dérobées attaquent leurs fournisseurs en justice.

<Pourquoi c'est possible>

Octobre 2016 : l’attaque généralisée contre le gestionnaire d’infrastructures Dyn a provoqué une véritable prise de conscience du potentiel de nuisance des objets connectés non sécurisés. En quelques heures, de nombreux sites – et non des moindres – se sont retrouvés totalement inaccessibles.

Pourtant, si tous les acteurs du numérique, des fabricants de hardwares aux développeurs de softwares en passant par les intermédiaires et les autorités de régulation, s’accordent sur la nécessité de faire évoluer les protocoles de sécurité, le marché poursuit sa croissance à marche rapide.

Au-delà de sa partie industrielle (smart grid par exemple), l’Internet des Objets (IoT) se généralise aussi dans les foyers, en particulier en Europe et aux Etats-Unis. Du quantified self à la maison intelligente, les outils et services associés se multiplient.

16 milliards
Objets connectés à travers le monde en 2021

soit une multiplication par 3,4 par rapport à 2016

4,6 milliards
Objets connectés déployés en 2015

Source : 2016 Ericsson Mobility Report

En 2014, des prototypes de réfrigérateurs connectés auraient servi à mener des attaques DdoS, comme celle perpétrée contre Dyn. Depuis, les premiers réfrigérateurs connectés produits dans une optique de commercialisation ont été présentés au grand public. S’ils sont encore loin de se généraliser dans nos cuisines, cela n’a pas empêché certains chercheurs de d’ores et déjà découvrir des failles de sécurité. Ainsi, un modèle permettant l’affichage de son calendrier personnel via la connexion à un service de messagerie ne sécuriserait pas l’accès aux données personnelles. Théoriquement, un hacker pourrait ainsi dérober les données de connexion.

Suivez nous dans la Emerging Risks Room

Les participants
Hélène Chauveau, Responsable des Risques Emergents, Groupe AXA
Emerging_Risks_Team
Hélène Chauveau, Responsable des Risques Emergents, Groupe AXA
Directeur de la stratégie et des Affaires publiques d’Orange Cyberdéfense
Nicolas_Arpagian
Directeur de la stratégie et des Affaires publiques d’Orange Cyberdéfense
Executive Managing Director de Stroz Friedberg
Rocco_Grillo
Executive Managing Director de Stroz Friedberg
Group Head of Framework and IRM Program Management, AXA
Jean-Baptiste_Petit
Group Head of Framework and IRM Program Management, AXA

Ne manquez pas le prochain épisode de la série "Inside the Emerging Risks Room" sur axa.com !

Illustrations : Léonard Dupont