Pas besoin de passer par la grande porte pour pirater avec panache. Plutôt que de s'attaquer de front à des systèmes informatiques sécurisés et sophistiqués d'un casino, des cybercriminels ont préféré passer par un thermomètre d'aquarium pour parvenir à leurs fins, a expliqué Nicole Eagan, PDG de la société de cybersécurité Darktrace, dans le cadre d'un événement organisé par le Wall Street Journal à Londres. «Les attaquants s'en sont servis pour mettre un pied dans le réseau, puis ils ont trouvé la base de données», a-t-elle déclaré, sans révéler l'identité du casino concerné ou donner plus de détails permettant d'en remonter la trace.

Le cas est loin d'être isolé, alerte la cheffe d'entreprise: «Il y a beaucoup d'objets connectés, des thermostats, des frigos, systèmes de climatisation, ou simplement des dispositifs comme Alexa [un assistant personnel développé par Amazon, NDLR] directement installés dans les bureaux, qui étendent la surface d'attaque (...) la plupart de ces attaques ne sont pas couvertes par les défenses traditionnelles». Également présent lors de cet événement, l'ancien chef de l'agence de renseignements britannique GCHQ, Robert Hannigan, a convenu que les objets connectés posaient un problème croissant pour les entreprises et qu'une réglementation visant à imposer des normes de sécurité serait nécessaire pour pallier le problème.

Attaques de machine-zombie

Les pirates profitent allègrement du manque de sécurité des nombreux objets connectés du marché. On en dénombrait ainsi près de 8,380 milliards en 2017, selon les estimations de Gartner. Des téléviseurs intelligents aux caméras de sécurité, en passant aux décodeurs numériques,capteurs électriques intelligents, la connectivité s'est installée sur les objets quotidiens des maisons comme des entreprises. Et faute de norme cohérente à l'échelle mondiale, ces appareils connectés constituent effectivement une porte d'entrée privilégiée par les hackers.

En octobre 2016 déjà, des caméras de surveillance avaient ainsi permis de paralyser une partie du Web mondial. De nombreux sites américains, comme Netflix, Twitter, Spotify, Amazon, Reddit ou eBay ont été rendus inaccessibles par une attaque informatique par déni de service sur la société américaine Dyn, un intermédiaire utilisé par de nombreuses entreprises du Web. Derrière ces attaques, un programme informatique appelé Mirai, capable de repérer des objets connectés mal protégés et de s'y infiltrer. Une fois infectée, la machine zombie était enrôlée dans un réseau (aussi appelé «botnet») et pouvait attaquer n'importe quelle cible choisie par la personne qui l'a piratée. Le créateur de Mirai a deoyus publié le code source de son programme en ligne, permettant à d'autres personnes de mener ce genre d'attaques. Ce mode opératoire a été plusieurs fois employé, notamment à l'encontre de l'hébergeur français OVH.

Ces attaques poussent néanmoins les autorités et les entreprises à réagir. La Commission européenne s'est saisi de l'enjeu de cybersécurité pour proposer de nouvelles normes en septembre dernier, et a annoncé de nombreuses mesures pour renforcer la sécurité des appareils connectés dès leur fabrication. Par ailleurs, la plupart des entreprises ont pour obligation légale de nommer une personne responsable de la sécurité des données, le Chief Data Officer, chargé de mettre en place toutes les mesures de sécurité au sein de son entreprise. Si celui-ci venait à manquer à certaines de ses obligations, les sanctions seraient particulièrement élevées: le nouveau règlement européen pour la protection des données personnelles prévoit ainsi jusqu'à 20 millions d'euros d'amende et 4% du chiffre d'affaires en cas de manquements constatés.