Beaucoup d’entre nous ont vu cette scène dans de nombreux films de zombies : une horde hurlante avance sur l’avant-poste sous la forme d’un tas de chair malade, rampant et rugissant. « Ils sont trop nombreux ! Repliez-vous !.. » Des coups de feu, maintenant bégayants et distants. Un staccato fou de la course trépidante du dernier survivant… Puis, finalement, le silence.
Mēris (mot letton signifiant « peste »), une version modifiée du tristement célèbre botnet Mirai, a amené quelque 250 000 « zombies », ou appareils compromis, à la fête l’été dernier, et l’assaut qu’ils ont lancé aurait fait honte à la scène ci-dessus. Selon les chercheurs, le botnet a été capable de lancer jusqu’à 21,8 millions de requêtes par seconde sur ses victimes, faisant s’effondrer leurs serveurs surchargés dans une attaque majeure de déni de service décentralisé (DDoS).
Les attaques DDoS ont explosé de 37 % en 2021, selon un rapport récent. Les botnets constitués d’appareils de l’Internet des objets (IoT) piratés constituent un vecteur d’attaque majeur. Et la vérité, c’est que ce n’est que le début. Certains des processus qui s’effilochent sur la scène technologique actuelle pourraient faire le jeu des hackers et préparer le terrain pour des attaques d’un tout nouveau volume.
Plus de métavers, plus de problèmes
Depuis que la société mère de Facebook a changé de nom pour devenir Meta, des pans entiers de la scène technologique sont en ébullition autour du métavers, un amalgame de VR/AR entre les mondes réel et virtuel. En termes pratiques, du moins pour l’instant, cela signifie porter un drôle de casque sur la tête lors d’une réunion d’affaires avec des dessins animés en 3D de vos investisseurs.
En termes encore plus pratiques, cela signifie davantage d’appareils connectés partout, tant dans les entreprises qu’à la maison. Le strict minimum pour mener vos affaires dans le métavers – c’est-à-dire Zoom – ne nécessite que deux smartphones, mais ce n’est pas sans raison que le marché des caméras de conférence a récemment explosé. Vous voulez des images nettes et un son de qualité lors de vos appels, alors choisissez un équipement intelligent capable de vous satisfaire. La sécurité est également un impératif, c’est pourquoi quelques capteurs de chaleur corporelle sont également utiles, ainsi que des capteurs de mouvement pour éviter le surpeuplement. Associez le tout à une plateforme de données pour regrouper les flux de capteurs et élaborer une solution de gestion complète, et vous êtes dans le vert.
Transformer un bureau, un site de production, une centrale électrique ou toute autre installation commerciale ou industrielle en un hub métavers est, pour l’instant, une perspective très lointaine. Il est probable, cependant, que cela implique l’introduction d’un grand nombre d’appareils connectés. Les casques, qui doivent encore devenir omniprésents, les vêtements équipés de capteurs pour un meilleur contrôle de la RV/RA et les capteurs muraux doivent tous faire partie du tableau si nous ne nous contentons plus de vivre le monde numérique sur un écran ordinaire. Avant même que le rêve des métavers ne s’installe, le marché des dispositifs IoT était en pleine expansion, et l’avènement des métavers ne fera que relancer le processus.
Maintenant, les mauvaises nouvelles. Nous devrions peut-être nous calmer un peu et respirer profondément avant de nous lancer dans une frénésie d’achats IoT induite par les métavers, car trop souvent, nous ne sommes même pas capables de protéger correctement les appareils déjà sur place.
Des fantômes dans la machine
Le marché de l’IdO connaît un problème de sécurité majeur. La mauvaise gestion des appareils connectés s’est classée en tête de la liste des préoccupations des professionnels de l’informatique en matière de sécurité dans une enquête récente. À juste titre, semble-t-il, car rien qu’au cours des six mois allant de janvier à juin 2021, les pirates ont réussi à compromettre quelque 1,5 milliard d’appareils IoT, soit une hausse massive par rapport à 2020. Certains de ces piratages peuvent se résumer à une blague anodine, mais d’autres entraînent une perte réelle de données et des dépenses associées. Et ce sont ces derniers que les entreprises préfèrent souvent passer sous silence, ce qui fait qu’il y a un certain brouillard de guerre en jeu ici.
Cependant, d’après ce que nous savons, une attaque réussie qui passe par un appareil connecté ou qui le vise peut entraîner de graves dommages. Elle peut provoquer l’effondrement des réseaux électriques, l’arrêt des chaînes de montage ou offrir aux attaquants une vue confortable du fonctionnement interne de la cible à travers les yeux de caméras détournées.
Dans le même ordre d’idées, la prolifération de dispositifs potentiellement vulnérables signifie probablement que nous verrons des réseaux de zombies encore plus massifs à l’avenir. Leur capacité à mettre hors service des sites web et des services web est déjà assez inquiétante dans un monde où le modèle SaaS est en passe de devenir le modèle dominant sur le marché des logiciels. Si vos clients doivent se connecter à votre serveur, qu’il s’agisse du vôtre ou d’un serveur en nuage, pour utiliser vos services, une attaque qui le met hors service vise le cœur même de votre activité.
En outre, les réseaux de zombies ne se contentent pas d’envoyer des demandes de connexion à n’importe quelle cible qui déplaît à leurs maîtres. Un botnet peut diffuser des logiciels malveillants, ce qui en fait un multiplicateur de puissance dans le cadre d’une attaque plus vaste. Il peut extraire des données sensibles de son armée d’appareils zombifiés à des fins d’espionnage ou de chantage, ou comme outil de collecte de renseignements pour une tentative d’hameçonnage ciblée. Il existe même des options plus exotiques auxquelles les pirates avertis peuvent s’essayer, comme la manipulation de l’alimentation électrique d’un réseau spécifique, potentiellement mortelle dans des conditions hivernales difficiles.
L’essor des métavers, s’il devait un jour porter ses fruits, ne créera pas en soi un terrain fertile pour l’apparition du plus grand réseau de zombies jamais créé, car cette tendance se dessine déjà depuis longtemps. Cependant, si l’on ne prend pas les précautions et les protocoles de sécurité nécessaires, cela pourrait être le coup de pouce final qui déclenchera une avalanche rugissante – nous ferions donc mieux de nous préparer à combattre ces hordes de zombies dès maintenant.
