La Nuit des Objets Vivants-Morts : Comment votre babyphone a failli débrancher Internet

La Nuit des Objets Vivants-Morts : Comment votre babyphone a failli débrancher Internet

On nous a promis la maison du futur. On a eu une armée de zombies numériques.

21 octobre 2016. Vous essayez de vous connecter à Twitter pour vous plaindre du prix du café, mais la page ne charge pas. Ni celle de Netflix. Ni Spotify. Ni le New York Times. Pendant quelques heures, une bonne partie de la côte Est américaine est numériquement coupée du monde. Panique dans les chaumières. Un État voyou ? Une cyber-guerre mondiale ? Non, bien pire. L'attaque ne venait pas de serveurs surpuissants planqués dans un bunker, mais d'une armée aussi improbable que terrifiante : des centaines de milliers de webcams, de babyphones et d'enregistreurs vidéo numériques, qui, à l'insu de leurs propriétaires, s'étaient unis pour bombarder les fondations de l'Internet. Bienvenue dans l'ère de l'Internet des Objets, ou comment on a confié les clés du royaume à des grille-pain.

Pour bien comprendre l'ampleur de la catastrophe, il faut abandonner l'image du hacker de cinéma. Oubliez le génie solitaire qui tape frénétiquement sur son clavier dans une cave obscure. L'attaque, baptisée 'Mirai', était l'équivalent numérique d'une invasion de zombies. Elle n'était ni subtile, ni intelligente. Elle était juste… massive. Le principe n'est pas de crocheter la serrure, mais d'envoyer un million de morts-vivants taper à la porte en même temps jusqu'à ce qu'elle cède sous le poids.

Mais qui sont ces zombies ? Ce sont eux : les 'objets connectés'. Cette merveilleuse idée marketing qui consiste à coller une puce Wi-Fi et un micro-ordinateur bas de gamme sur n'importe quoi, de votre ampoule à votre frigo. On nous a vendu le rêve d'une maison intelligente, où tout communique harmonieusement. La réalité, c'est qu'on a créé un gigantesque parc de machines idiotes, à peine assez puissantes pour faire leur job, mais juste assez pour être piratées. Ces objets, ce sont les figurants du film d'horreur : ils n'ont pas de personnalité, pas de conscience, et leur seule fonction est de se faire posséder par le premier démon venu pour rejoindre la horde.

Et comment le démon 'Mirai' a-t-il fait pour recruter son armée ? C'est là que le drame tourne à la farce. Le malware ne s'est pas embêté avec des failles de sécurité complexes. Il a fait le tour du quartier numérique et a simplement essayé d'ouvrir la porte de chaque maison. Et comme des millions de fabricants d'objets connectés, dans leur course folle au moins cher, n'avaient jamais pris la peine de changer la serrure d'usine, Mirai est entré. Il a testé une liste d'une soixantaine de combinaisons login/mot de passe par défaut, du genre 'admin/admin', 'root/12345', 'user/user'. C'est tout. Il n'a pas forcé le coffre-fort, il a juste trouvé des millions de portes d'entrée grandes ouvertes avec les clés sur le paillasson et un panneau 'Bienvenue aux envahisseurs'.

Une fois à l'intérieur de votre webcam ou de votre babyphone, le virus était discret. Il ne faisait rien qui puisse vous alerter. Il attendait, simplement. Puis, le jour J, sur un ordre unique, des centaines de milliers de ces zombies domestiques se sont mis à envoyer des requêtes inutiles vers une seule cible, l'entreprise Dyn, un des grands annuaires de l'Internet. Le flot était si intense que l'annuaire a coulé, emportant avec lui l'accès à tous les sites qui dépendaient de lui. Vos objets, achetés pour vous apporter confort et sécurité, ont été transformés en armes dans une guerre numérique dont vous étiez l'arsenal involontaire. Le problème ? Des milliards de ces zombies potentiels sont encore branchés aujourd'hui, attendant le prochain signal.


Le Saviez-Vous ?

Qui se cachait derrière Mirai, cette arme capable de paralyser des économies ? Des espions russes ? Des cyber-terroristes ? Non. Trois jeunes Américains, dont un étudiant de 21 ans. Leur but ultime n'était pas de déstabiliser l'Occident, mais de lancer des attaques DDoS contre des serveurs du jeu... Minecraft, afin de faire tourner leur propre business de location de serveurs. L'une des plus grandes pannes de l'histoire d'Internet a été un simple dommage collatéral d'une querelle de cour de récréation numérique.


Le futur est là. Il a le mot de passe 'password' et il vous regarde pendant que vous dormez. Littéralement.