Fortinet : « Le DDoS par 3 millions de brosses à dents connectées n’était pas un incident réel »… le média à l’origine de l’article conteste
(tomshardware.com)- Fortinet a rectifié l’information selon laquelle 3 millions de brosses à dents connectées auraient été utilisées dans une attaque DDoS, en expliquant qu’il s’agissait d’un exemple de type d’attaque et non d’un incident réel, mais le média à l’origine de l’article, Aargauer Zeitung, conteste cette version et affirme que Fortinet l’avait présenté comme un cas réel
- L’article initial indiquait que des brosses à dents connectées utilisant un OS basé sur Java avaient été infectées par un malware et transformées en botnet, paralysant pendant 4 heures le site web d’une entreprise suisse et causant plusieurs millions d’euros de dommages
- Fortinet explique que cette histoire ne s’appuyait pas sur des recherches de Fortinet ou de FortiGuard Labs, et que la frontière entre scénario hypothétique et cas réel s’est brouillée au cours de la traduction
- Aargauer Zeitung rétorque que les responsables de Fortinet Suisse n’ont pas corrigé l’expression « incident réellement survenu » lors de réunions ni pendant la relecture du manuscrit avant publication
- Indépendamment du débat sur la véracité des faits, les appareils IoT connectés comme les brosses à dents, routeurs ou caméras de surveillance peuvent devenir des cibles ou des ressources de botnet, ce qui impose des mises à jour et une surveillance du réseau
La rectification de Fortinet et la réponse d’Aargauer Zeitung
- Fortinet a rectifié l’information selon laquelle 3 millions de brosses à dents connectées auraient été utilisées dans une attaque DDoS, la jugeant inexacte
- L’entreprise explique que le cas des brosses à dents était un exemple destiné à illustrer un type d’attaque précis pendant une interview
- Ce contenu ne s’appuie pas sur des recherches de Fortinet ou de FortiGuard Labs
- Fortinet estime qu’au cours de la traduction, un récit mêlant scénario hypothétique et cas réel s’est formé
- Aargauer Zeitung n’accepte pas l’explication de Fortinet fondée sur un « problème de traduction »
- Le média affirme que les responsables de Fortinet Suisse ont présenté le cas des brosses à dents comme une attaque DDoS réelle lors d’une discussion sur les menaces actuelles
- Il indique que Fortinet a également fourni des informations précises sur la durée d’indisponibilité du site web de l’entreprise suisse et sur l’ampleur des dommages causés par l’attaque
- Fortinet aurait expliqué que le nom de l’entreprise victime n’était pas rendu public par égard pour son client
- Aargauer Zeitung rétorque que le manuscrit avait été transmis à Fortinet pour relecture avant publication, et qu’aucune objection n’avait été formulée contre la présentation des faits comme un incident réel
Le contenu de l’attaque présenté dans l’article initial
- L’article initial rapportait qu’environ 3 millions de brosses à dents connectées avaient été infectées par des hackers et intégrées à un botnet
- Ce botnet aurait mené une attaque DDoS contre le site web d’une entreprise suisse, qui aurait cessé de fonctionner faute de pouvoir supporter la charge de l’attaque
- L’attaque aurait duré 4 heures et entraîné des pertes d’exploitation de plusieurs millions d’euros
- Le texte original contenait une phrase indiquant en substance que « cet exemple, qui ressemble à un scénario hollywoodien, s’est réellement produit », et le média germanophone Golem.de l’a lui aussi présenté comme un incident réel
- Plusieurs germanophones ont confirmé que la traduction par « s’est réellement produit » était exacte
Explications techniques et incertitudes restantes
- L’article initial suggérait que le botnet de brosses à dents en question avait pu être vulnérable en raison d’un OS basé sur Java
- Aucune marque précise de brosse à dents connectée n’était mentionnée
- La fonction connectée normale des brosses à dents servait à suivre et améliorer les habitudes d’hygiène bucco-dentaire des utilisateurs
- Après l’infection par malware, ces brosses à dents auraient été enrôlées de force dans un botnet
- Le nom de l’entreprise suisse touchée et les détails des dommages subis n’ont pas été rendus publics
Avertissement sur la sécurité IoT
- Stefan Züger, de la filiale suisse de Fortinet, affirme que tout appareil connecté à Internet peut être une cible potentielle ou être détourné pour mener des attaques
- Outre les brosses à dents, les routeurs, décodeurs, caméras de surveillance, sonnettes, babyphones et lave-linge entrent dans la même catégorie
- Les appareils connectés font l’objet d’une recherche constante de vulnérabilités par les hackers, et une course se poursuit entre les éditeurs de logiciels et de firmwares pour appareils et les cybercriminels
- Fortinet affirme qu’un PC non protégé connecté à Internet a été infecté par un malware en seulement 20 minutes
Ce que doivent faire les utilisateurs d’appareils connectés
- Même si les détails de l’incident restent contestés, les propriétaires d’appareils connectés doivent maintenir leurs appareils, leur firmware et leurs logiciels à jour
- Ils doivent surveiller toute activité suspecte sur leur réseau
- Ils doivent installer et utiliser des logiciels de sécurité
- Ils doivent suivre les bonnes pratiques de sécurité réseau
- Tom’s Hardware a modifié son titre original, « Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages », afin de refléter les nouveaux développements
1 commentaires
Avis de Hacker News
Cet article est étrange et il manque beaucoup de détails. À ma connaissance, les grandes brosses à dents connectées utilisent toutes le BLE et ne se connectent pas directement au Wi‑Fi.
J’ai essayé de vérifier les faits, mais je n’ai rien trouvé. Beaucoup de puces BLE peuvent aussi faire du Wi‑Fi, donc je n’exclus pas totalement la possibilité que quelqu’un ait compromis le firmware et activé la fonction Wi‑Fi, mais je me demande déjà comment elles se seraient connectées au Wi‑Fi pour faire fonctionner un botnet. Le principe des risques liés aux appareils IoT reste valable, mais je suis assez sceptique sur cet article lui-même.
Je sais qu’il y a eu Java ME et qu’il existe aussi des micro-JVM qui tournent sur des microcontrôleurs, mais ça ne colle quand même pas. Les attaques DDoS existent bien et arrivent tout le temps, mais on dirait que des « experts » en sécurité ont dit que ce type d’attaque pouvait venir de n’importe où, même de brosses à dents, et que des détails ont disparu à la traduction ou que cela a servi de clickbait.
https://cyberplace.social/@GossiTheDog/111886558855943676
C’est vraiment un article bâclé. Quelqu’un affirme que 3 millions de brosses à dents connectées ont été utilisées dans un DDoS, mais personne ne dit quoi/qui/comment.
Une affirmation aussi inhabituelle demande au moins quelques preuves. Il faudrait au minimum des détails techniques permettant de les identifier comme des brosses à dents, non ?
J’utilise une vieille brosse à dents Philips sans Bluetooth, sans Internet et sans têtes verrouillées par le fabricant, et elle se recharge même sans fil dans un verre. Je l’aime beaucoup.
Récemment, j’ai voulu en acheter une deuxième, mais je n’ai trouvé que des modèles plus récents avec des fonctions inutiles dont je ne veux pas. Qui peut bien vouloir connecter sa brosse à dents à Internet ? J’ai fini par trouver un ancien stock sur eBay. Ça peut paraître cruel, mais j’espère que l’imbécile qui a décidé d’intégrer ces fonctions au produit, ainsi que le sous-fifre qui les a implémentées, passent une mauvaise journée aujourd’hui et repensent à la sagesse de ce qu’ils ont fait.
Depuis que j’ai commencé à utiliser une brosse à dents connectée avec une appli mobile, mon dentiste a constaté que la plaque derrière mes molaires s’était nettement améliorée.
Si l’avertissement consiste à dire « maintenez les appareils, firmwares et logiciels à jour, surveillez les activités suspectes, installez et utilisez un logiciel de sécurité, et suivez les bonnes pratiques de sécurité réseau », alors autant n’autoriser l’achat de brosses à dents connectées qu’aux consommateurs titulaires d’une certification obligatoire.
J’avais mal mémorisé ces deux-là comme une seule BD, mais on ne peut pas tout avoir, apparemment.
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i.imgur.com/YnBnsKA.jpeg
Avertissement concernant les brosses à dents électriques Philips : impossible de désactiver le Bluetooth, même sans utiliser les fonctions connectées
Il faut aussi se méfier des purificateurs d’air Philips compatibles Wi‑Fi, car leur fonction de contrôle à distance ne peut pas être désactivée. Pour terminer la configuration, il faut créer un hotspot Wi‑Fi auquel se connecter avec un smartphone ; si l’on n’utilise pas cette fonction, le purificateur d’air crée un hotspot Wi‑Fi permanent qui n’attend plus que d’être exploité.
https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
L’application du téléphone et la montre essayaient sans cesse de se synchroniser en se cherchant mutuellement. L’alternative consistait à la dissocier, l’utiliser, puis la réappairer pour synchroniser, mais c’était beaucoup trop pénible. Cela dit, l’autonomie s’est réellement améliorée. Je me suis plaint en ligne au support client de l’entreprise, mais eux non plus ne savaient pas pourquoi la batterie était aussi mauvaise ; ils se contentaient de dire que j’avais dû changer un réglage et qu’il fallait essayer de réinitialiser le téléphone aux paramètres d’usine. Depuis que je suis passé chez Polar, ma montre actuelle tient 5 jours sur une charge. Sacré changement par rapport à moins d’une journée.
Quelle merveilleuse entreprise. Après avoir racheté l’un des meilleurs fabricants de CPAP, ils ont économisé sur les matériaux jusqu’à atteindre le point de rendement décroissant d’un rappel pour cancer, et ce n’est pas comme s’ils n’avaient pas eu d’autre option que de le cacher le plus longtemps possible.
Pourquoi une brosse à dents devrait-elle pouvoir se connecter au Web au départ ? Je comprends que ce soit pour suivre les habitudes de brossage, mais une connexion locale, comme sur le LAN, ne suffirait-elle pas ?
Et il ne faut pas oublier les aspirateurs, réfrigérateurs, lave-linge, cafetières et innombrables autres appareils « intelligents » qui transmettent des données personnelles. J’aimerais presque faire un sondage pour savoir combien de gens sur HN fabriquent exactement ce genre de technologies, combien lisent ce fil, et combien s’en soucient vraiment.
Je pense que toute technologie passe par une période d’expérimentation avant que son bon usage devienne clair
C’est ainsi qu’on a eu Project Plowshare pour les bombes, et aujourd’hui on ajoute une connexion Internet même à des appareils qui n’auraient besoin que d’un interrupteur marche/arrêt. Je ne comprends pas vraiment pourquoi on aurait besoin d’une brosse à dents connectée, mais même si l’on voit parfois apparaître des botnets à base de brosses à dents, j’ai beaucoup d’estime pour l’esprit d’expérimentation en lui-même.
Rien que pour Internet, on a eu environ 40 ans pour « expérimenter ». Il serait temps d’avoir des résultats, des conclusions et des productions un peu mûres
[0] https://news.ycombinator.com/context?id=39253045
Comment vendre le produit X plus cher ? Ajoutez du Wi‑Fi et de l’IA. On peut faire ça avec à peu près n’importe quoi.
Je n’ai rien dit, car je n’étais pas auteur pour Onion
Puis ils sont venus chercher Black Mirror
Je n’ai rien dit, car je n’étais pas auteur pour Mirror
Puis ils sont venus chercher Horselover Fat…
La folie est déjà là. Elle n’est simplement pas distribuée uniformément.
Le « pourquoi » est clair. Il existe toujours un marché pour des données agrégées sur le comportement humain.
Stanislav Lem a écrit « Washer Tragedy », où les machines à laver deviennent intelligentes et prennent le contrôle ; je pense qu’il aurait été fier de voir ce genre de brosse à dents.
Je redoute l’inévitable guerre des godemichés connectés de 2037. Des millions de godemichés et de réfrigérateurs en réseau sèment le chaos sur tout Internet, causent des milliards de dollars de dégâts, et les « suspects sont toujours en fuite ».
Il me semble qu’il s’agissait de fuites d’enregistrements vocaux créés par l’application compagnon.