Un milliers d’objets connectés ont été détectés par Shodan dans un rayon de 5 km autour de Vernon.
Aujourd’hui, les ordinateurs ne sont plus les seuls à être branchés à internet. Frigos, caméras, outils industriels, imprimantes, capteurs : l’ère des objets connectés a commencé. Dans l’Eure, ce sont déjà des dizaines de milliers de systèmes très concrets qui sont reliés par le réseau des réseaux.
Le moteur de recherche Shodan permet de découvrir ces objets connectés, et facilite la pénétration des systèmes non sécurisés. Je vous propose une balade plutôt effrayante dans l’internet des machines euroises, et quelques conseils pour éviter que la caméra, l’imprimante ou les capteurs de votre entreprise ne soient ouverts à tous vents.
- Shodan : qu’est-ce que c’est ?
- Plus de 20 000 objets eurois sur Shodan
- Quelques conseils de sécurisation
Shodan : qu’est-ce que c’est ?
Lancé il y a quelques années, Shodan teste des milliers d’adresses IP chaque jour. Une adresse IP correspond à un identifiant unique sur le réseau, à l’image de votre adresse postale. Lorsque les machines situées à ces adresses lui répondent, il enregistre les données retournées. Les internautes peuvent ensuite fouiller la base de données ainsi constituée, avec de nombreux paramètres.
Google s’intéresse essentiellement aux pages web visibles par l’internaute, connectées à d’autres pages par des liens hypertextes1. Shodan, lui, fouille l’ensemble de l’internet sans discrimination. Il peut ainsi trouver les Freebox des particuliers, les espaces de stockage sécurisés, les imprimantes connectées, ou les systèmes industriels.
Ce moteur de recherche un peu particulier est donc devenu un outil très utile aux personnes malintentionnées, ainsi qu’aux spécialistes de la sécurité informatiques… et aux journalistes ! Des norvégiens ont ainsi réalisé une enquête au retentissement important.
Shodan ne recense pas l’intégralité des objets connectés2. Il ne collecte que ceux qui sont suffisamment mal sécurisés pour répondre à ses requêtes, et dont l’adresse a été testée. Rien n’empêche une organisation ou un particulier d’organiser une récolte plus complète sur un secteur donné.
Plus de 20 000 objets eurois sur Shodan
Dans ce centre de contrôle technique ébroïcien, c’est la surprise lorsqu’on annonce que les capteurs d’une pièce de stockage sécurisée sont librement accessibles pour qui possède leur adresse IP. “Logiquement, ça ne devrait pas se produire”, s’étonne le responsable. Il renvoie au siège de cette grande entreprise, qui ne souhaite pas s’exprimer sur le sujet.
Les caméras de particuliers et de professionnels sont également très nombreuses sur le réseau eurois. Certaines sont accessibles avec les identifiants par défaut du modèle identifié par Shodan, à l’image du magasin d’un opticien gisorsien ou du salon d’un particulier de Saint-André-de-l’Eure.
À Vernon, les 15 caméras identifiables sur Shodan comportent un mot de passe… mais les modèles utilisés possèdent des failles de sécurité connues. Elles permettraient assez facilement à des développeurs informatiques, voire à un adolescent débrouillard, d’obtenir leurs images3.
Au-delà de ces exemples, la récolte euroise rapporte nombre de téléphones, d’imprimantes, et d’espaces de stockage numériques. Ces systèmes ont fréquemment des failles de sécurité, laissant par exemple la possibilité de récolter les documents photocopiés, ou de scanner la nuit les documents sensibles laissés dans l’imprimante. Si les grandes entreprises ont généralement pris leurs précautions, les PME constituent des cibles faciles.
Quelques conseils de sécurisation
La première chose à faire est de vous demander s’il est vraiment nécessaire que votre imprimante, votre photocopieuse, votre caméra ou votre outil industriel soit connecté à internet. Toute activité sensible devrait idéalement se faire hors du réseau. Si ce n’est pas possible, essayez de vous renseigner pour savoir si ce que vous achetez est connu comme étant mal sécurisé, ce qui est à la portée d’une simple recherche Google4. Vous pouvez également vous tester en recherchant régulièrement l’adresse IP de votre domicile, entreprise ou serveur web dans Shodan.
On ne le dira jamais assez : ne laissez jamais les mots de passe par défaut, utilisez au moins dix caractères, et supprimez la possibilité de comptes invités ou anonymes dans les options. Mettez à jour régulièrement les logiciels de ces objets connectés, aussi appelés firmwares. Évitez de nommer les interfaces web de vos machines ou de donner des indications géographiques. Cela permet à un utilisateur malintentionné de savoir à quoi elles correspondent s’il tombe dessus.
En entreprise, si vous souhaitez que vos salariés puissent imprimer de chez eux, entrez manuellement dans l’interface l’adresse IP de leur domicile. Seules les connexions provenant de ces adresses seront alors autorisées. Idéalement, configurez les machines pour qu’elle ne répondent pas à des connexions non autorisées, ce qui leur évitera de se retrouver sur Shodan ou dans d’autres bases de données.
- Il est également possible d’y trouver des objets connectés, dans une mesure bien moindre cependant.
- Son utilisation nécessite par ailleurs quelques compétences informatiques, et nombre d’objets ont vu changer leur adresse IP entre le moment de leur récolte et celui où l’internaute essaie d’y accéder.
- Aucun lien n’est donné dans cet article, pour d’évidentes raisons de sécurité.
- Tapez “faille de sécurité”, “security breach” ou des variations de ces mots-clés accompagnés du nom du modèle dans le moteur.