"Il existe énormément d'appareils IoT qui se trouvent sur l'internet", déclare Dan Demeter, chercheur en sécurité chez Global Research and Analysis Team de Kaspersky. "Du pain béni pour les hackers." Lors de la conférence Kaspersky Next, il démontre, conjointement avec son patron Marco Preuss, l'intérêt - via quelques résultats - de leur enquête 'Honeypot-as-a-Service' sur les appareils IoT.

Une grande quantité d'appareils mal sécurisés forment un vaste botnet, comme nous l'ont appris les attaques de Mirai en 2016. "Comment y réagir? Mirai et d'autres botnets sont surtout exploités pour lancer des attaques DDoS. Pour les contrer, il faut une meilleure connexion internet, ce qui n'est pas de notre ressort. Mais ce que nous pouvons faire, c'est identifier les appareils vulnérables avec un système Honeypot", affirme Demeter.

L'idée sous-jacente au 'pot de miel' est de mettre un appareil en ligne et de le faire attaquer. Nombre de firmes de sécurité utilisent le pot de miel pour collecter des exemples de malware par exemple ou pour tenter de savoir d'où proviennent les criminels. Le pot de miel se comporte comme un serveur, un ordinateur ou encore une caméra IP vulnérable, contenant un bug connu.

"Les appareils IoT ne sont pas grand-chose de plus que des appareils embarqués, qui font en général tourner Linux et ont installé quelques services par défaut", précise Marco Preuss. "Pensez par exemple à une infrastructure serveur très fréquente de commande à distance. Le problème, c'est qu'il s'agit souvent d'anciennes versions de ces services, vulnérables aux attaques. Ce que nous faisons, c'est les émuler avec notre propre software. Les appareils sont agressés. Nous laissons les hackers y installer leur malware, puis nous collectons toutes les informations utiles."

Le projet a démarré fin 2018 et enregistre à présent quelque 300.000 attaques par jour, dont on peut puiser quotidiennement en moyenne cinq mille échantillons de malware. L'équipe apprend ainsi que la plupart des attaques proviennent - et ce n'est pas vraiment inattendu - de Chine, suivie de Russie et (ce qui est plus surprenant) d'Egypte. "Le fait que la Chine soit si active, est dû en grande partie à l'importante quantité d'appareils IoT bon marché que ce pays produit et vend et ce, tant à sa propre population qu'à l'étranger", prétend encore Demeter.

Que nous apprend encore cette enquête? Les méthodes que les agresseurs utilisent en général, sont plutôt simples. Souvent, ils repèrent une faille dans le logiciel ou une combinaison d'un nom d'utilisateur et d'un mot de passe avec laquelle ils tentent de se connecter. Cette dernière possibilité est très fréquente pour ce qui est des appareils IoT, où les gens changent rarement de mot de passe 'admin' par défaut. Dans la liste des combinaisons souvent utilisées que l'équipe a interceptées, on trouve aussi les mots de passe et login par défaut pour toute une série de caméras IP populaires et d'autres appareils connectés. "Il y a en outre aussi des mots de passe programmés en dur ('hardcoded') dans des routeurs par exemple. Ils sont intégrés dans le firmware et ne peuvent être modifiés", ajoute encore Demeter. "Quiconque connaît ce genre de mot de passe, peut se connecter à votre routeur. Il s'agit là de la faille ultime."

Avec son enquête, Kaspersy entend connaître notamment les tendances en matière d'attaques. Observe-t-on par exemple déjà des attaques assez complexes sur des appareils IoT mieux sécurisés?, demandons nous à Marco Preuss. Du genre de ceux n'ayant pas de mot de passe par défaut et embarquant par exemple peut-être des possibilités de sécurité matérielle ou de 'device monitoring'? "Non", fait-il en bougeant la tête de gauche à droite. "Après tout, pourquoi les hackers le feraient-ils? Il existe plus qu'assez de méthodes permettant de provoquer des infections de manière à la fois plus rapide et plus facile."