La semaine dernière, Aargauer Zeitung a fait des remous avec un article qui racontait une histoire particulièrement insolite. Selon le média suisse, des pirates auraient infecté des millions de brosses à dents électriques connectées à l’aide d’un virus pour lancer une cyberattaque de grande envergure contre une entreprise. Cette drôle d’affaire est vite devenue virale, pour de bonnes raisons… mais il y a toutefois un léger problème : l’attaque en question n’a jamais eu lieu.
L’article parlait initialement de trois millions de brosses à dents connectées programmées en Java sur lesquelles des criminels auraient discrètement installé un malware. À l’aide d’une simple commande, ils auraient ensuite commandé à ce botnet — une armée d’appareils infectés à la solde d’un pirate — de se ruer simultanément sur le site de Fortinet, une entreprise spécialisée dans la cybersécurité. « Le site s’écroule et reste paralysé pendant des heures, provoquant des millions de dollars de dégâts », expliquait l’Aargauer Zeitung.
La nouvelle s’est répandue aux quatre coins du Web comme une traînée de poudre. Même des sites spécialisés comme Tom’s Hardware ont relayé les informations du Zeitung. Et on comprend aisément pourquoi. Au-delà de son côté insolite, elle fait écho au discours de certains spécialistes de la sécurité. Ils sont nombreux à fustiger les vulnérabilités criantes des innombrables gadgets connectés qui pullulent en ce moment. En plus de représenter un potentiel point d’accès au réseau privé d’un foyer, il existe aussi un risque non négligeable qu’ils puissent être piégés dans un botnet pour contribuer à des DDoS, ou Distributed Denial of Service. C’est un type d’attaque où un grand nombre d’appareils infectés se coordonnent pour surcharger le serveur ciblé, coupant ainsi l’accès à un site ou à un service.
Un scénario tiré par les cheveux
Mais les experts ont vite commencé à grincer des dents. Il faut dire que cette version contient quelques incohérences majeures qui rendaient l’affaire particulièrement improbable. Il y en a notamment une qui sautait immédiatement aux yeux. En règle générale, ces brosses à dents ne se connectent pas directement à Internet. À la place, elles passent plutôt par une connexion Bluetooth pour communiquer avec une application smartphone.
Bullshit. There's no evidence 3 million toothbrushes performed a DDoS.
What the f*** is wrong with you people???? There are no details, like who is the target of the DDoS? what was the brand of toothbrushes? how are they connected to the Internet (hint: they aren't, they are… https://t.co/kc4DV9RO5v
— Robᵉʳᵗ Graham 𝕏 (@ErrataRob) February 7, 2024
Par conséquent, elles ne peuvent en aucun cas participer seules à une attaque DDoS. Si un botnet avait effectivement paralysé l’infrastructure réseau de Fortinet, il serait constitué d’une armée de téléphones portables, et non pas de simples brosses à dents. Mais cela impliquerait alors que des millions de smartphones aient été infectés. Or il n’y a que très peu de manières de toucher autant d’appareils en même temps. Il faudrait par exemple lancer une attaque massive contre les serveurs des constructeurs pour les forcer à déployer une mise à jour contenant un cheval de Troie.
Le cas échéant, il s’agirait d’une nouvelle beaucoup plus préoccupante qu’une simple attaque DDoS. Le fait que personne n’ait entendu parler d’un incident majeur de ce type n’augurait donc rien de bon pour la crédibilité de l’histoire originale. Même constat du côté de Fortinet, qui n’a pas publié la moindre information par rapport à une attaque potentiellement dommageable pour ses actionnaires.
Une erreur d’interprétation, mais un risque réel
Finalement, c’est 404 Media qui s’est chargé de faire la lumière sur cette affaire. Ses équipes ont été les premières à réussir à joindre les responsables de la cybersécurité de Fortinet, et ces derniers ont nié avoir subi une telle attaque. Selon la même source, cet imbroglio serait parti d’un fâcheux qui pro quo. Lors d’une interview au Aargauer Zeitung, un représentant de l’entreprise aurait cité ce botnet dentaire en guise d’exemple par rapport aux vulnérabilités de l’écosystème IoT, sans suggérer qu’il s’agissait d’un cas réel.
Le média suisse, en revanche, campe sur ses positions. D’après Ars Technica, il maintient que l’attaque a été citée comme un exemple réel, et pas simplement un cas hypothétique.
Quoi qu’il en soit, cette drôle d’affaire aura au moins eu le mérite de rappeler que l’augmentation rapide du nombre d’objets connectés, qui ont tendance à être de véritables passoires en termes de sécurité, n’est pas à prendre à la légère. Le problème va sans doute devenir de plus en plus concret au fur et à mesure que de plus en plus de gens s’équiperont d’appareils capables de se connecter directement au Web. Espérons donc que des normes de sécurité plus strictes finiront par émerger avant qu’une attaque majeure, cette fois bien réelle, ne vienne mettre la pagaille.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
