1 points par GN⁺ 2024-02-09 | 1 commentaires | Partager sur WhatsApp
  • Fortinet a rectifié l’information selon laquelle 3 millions de brosses à dents connectées auraient été utilisées dans une attaque DDoS, en expliquant qu’il s’agissait d’un exemple de type d’attaque et non d’un incident réel, mais le média à l’origine de l’article, Aargauer Zeitung, conteste cette version et affirme que Fortinet l’avait présenté comme un cas réel
  • L’article initial indiquait que des brosses à dents connectées utilisant un OS basé sur Java avaient été infectées par un malware et transformées en botnet, paralysant pendant 4 heures le site web d’une entreprise suisse et causant plusieurs millions d’euros de dommages
  • Fortinet explique que cette histoire ne s’appuyait pas sur des recherches de Fortinet ou de FortiGuard Labs, et que la frontière entre scénario hypothétique et cas réel s’est brouillée au cours de la traduction
  • Aargauer Zeitung rétorque que les responsables de Fortinet Suisse n’ont pas corrigé l’expression « incident réellement survenu » lors de réunions ni pendant la relecture du manuscrit avant publication
  • Indépendamment du débat sur la véracité des faits, les appareils IoT connectés comme les brosses à dents, routeurs ou caméras de surveillance peuvent devenir des cibles ou des ressources de botnet, ce qui impose des mises à jour et une surveillance du réseau

La rectification de Fortinet et la réponse d’Aargauer Zeitung

  • Fortinet a rectifié l’information selon laquelle 3 millions de brosses à dents connectées auraient été utilisées dans une attaque DDoS, la jugeant inexacte
    • L’entreprise explique que le cas des brosses à dents était un exemple destiné à illustrer un type d’attaque précis pendant une interview
    • Ce contenu ne s’appuie pas sur des recherches de Fortinet ou de FortiGuard Labs
    • Fortinet estime qu’au cours de la traduction, un récit mêlant scénario hypothétique et cas réel s’est formé
  • Aargauer Zeitung n’accepte pas l’explication de Fortinet fondée sur un « problème de traduction »
    • Le média affirme que les responsables de Fortinet Suisse ont présenté le cas des brosses à dents comme une attaque DDoS réelle lors d’une discussion sur les menaces actuelles
    • Il indique que Fortinet a également fourni des informations précises sur la durée d’indisponibilité du site web de l’entreprise suisse et sur l’ampleur des dommages causés par l’attaque
    • Fortinet aurait expliqué que le nom de l’entreprise victime n’était pas rendu public par égard pour son client
    • Aargauer Zeitung rétorque que le manuscrit avait été transmis à Fortinet pour relecture avant publication, et qu’aucune objection n’avait été formulée contre la présentation des faits comme un incident réel

Le contenu de l’attaque présenté dans l’article initial

  • L’article initial rapportait qu’environ 3 millions de brosses à dents connectées avaient été infectées par des hackers et intégrées à un botnet
  • Ce botnet aurait mené une attaque DDoS contre le site web d’une entreprise suisse, qui aurait cessé de fonctionner faute de pouvoir supporter la charge de l’attaque
  • L’attaque aurait duré 4 heures et entraîné des pertes d’exploitation de plusieurs millions d’euros
  • Le texte original contenait une phrase indiquant en substance que « cet exemple, qui ressemble à un scénario hollywoodien, s’est réellement produit », et le média germanophone Golem.de l’a lui aussi présenté comme un incident réel
  • Plusieurs germanophones ont confirmé que la traduction par « s’est réellement produit » était exacte

Explications techniques et incertitudes restantes

  • L’article initial suggérait que le botnet de brosses à dents en question avait pu être vulnérable en raison d’un OS basé sur Java
  • Aucune marque précise de brosse à dents connectée n’était mentionnée
  • La fonction connectée normale des brosses à dents servait à suivre et améliorer les habitudes d’hygiène bucco-dentaire des utilisateurs
  • Après l’infection par malware, ces brosses à dents auraient été enrôlées de force dans un botnet
  • Le nom de l’entreprise suisse touchée et les détails des dommages subis n’ont pas été rendus publics

Avertissement sur la sécurité IoT

  • Stefan Züger, de la filiale suisse de Fortinet, affirme que tout appareil connecté à Internet peut être une cible potentielle ou être détourné pour mener des attaques
  • Outre les brosses à dents, les routeurs, décodeurs, caméras de surveillance, sonnettes, babyphones et lave-linge entrent dans la même catégorie
  • Les appareils connectés font l’objet d’une recherche constante de vulnérabilités par les hackers, et une course se poursuit entre les éditeurs de logiciels et de firmwares pour appareils et les cybercriminels
  • Fortinet affirme qu’un PC non protégé connecté à Internet a été infecté par un malware en seulement 20 minutes

Ce que doivent faire les utilisateurs d’appareils connectés

  • Même si les détails de l’incident restent contestés, les propriétaires d’appareils connectés doivent maintenir leurs appareils, leur firmware et leurs logiciels à jour
  • Ils doivent surveiller toute activité suspecte sur leur réseau
  • Ils doivent installer et utiliser des logiciels de sécurité
  • Ils doivent suivre les bonnes pratiques de sécurité réseau
  • Tom’s Hardware a modifié son titre original, « Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages », afin de refléter les nouveaux développements

1 commentaires

 
GN⁺ 2024-02-09
Avis de Hacker News
  • Cet article est étrange et il manque beaucoup de détails. À ma connaissance, les grandes brosses à dents connectées utilisent toutes le BLE et ne se connectent pas directement au Wi‑Fi.
    J’ai essayé de vérifier les faits, mais je n’ai rien trouvé. Beaucoup de puces BLE peuvent aussi faire du Wi‑Fi, donc je n’exclus pas totalement la possibilité que quelqu’un ait compromis le firmware et activé la fonction Wi‑Fi, mais je me demande déjà comment elles se seraient connectées au Wi‑Fi pour faire fonctionner un botnet. Le principe des risques liés aux appareils IoT reste valable, mais je suis assez sceptique sur cet article lui-même.

    • J’ai aussi vérifié les faits, et ils parlaient d’un système d’exploitation basé sur Java comme cause possible.
      Je sais qu’il y a eu Java ME et qu’il existe aussi des micro-JVM qui tournent sur des microcontrôleurs, mais ça ne colle quand même pas. Les attaques DDoS existent bien et arrivent tout le temps, mais on dirait que des « experts » en sécurité ont dit que ce type d’attaque pouvait venir de n’importe où, même de brosses à dents, et que des détails ont disparu à la traduction ou que cela a servi de clickbait.
    • L’ESP32 est désormais utilisé comme une puce généraliste, même pour des usages où un MCU 8 bits suffirait. S’il existe une vulnérabilité exploitable à distance dans l’ESP32 ou son SDK, cela peut avoir des conséquences à grande échelle.
    • Ce n’est pas quelque chose qui s’est réellement produit, juste une absurdité devenue virale.
      https://cyberplace.social/@GossiTheDog/111886558855943676
    • Ils ont fait du wardriving pour la santé bucco-dentaire ?
  • C’est vraiment un article bâclé. Quelqu’un affirme que 3 millions de brosses à dents connectées ont été utilisées dans un DDoS, mais personne ne dit quoi/qui/comment.
    Une affirmation aussi inhabituelle demande au moins quelques preuves. Il faudrait au minimum des détails techniques permettant de les identifier comme des brosses à dents, non ?

    • Même en supposant qu’une brosse à dents connectée soit reliée au Wi‑Fi, il est aussi étrange qu’elle soit exposée à l’Internet public. La plupart des gens utilisent un gros modem câble fourni par leur FAI, avec un pare-feu entrant de base, non ?
    • J’aimerais aussi voir plus de détails, mais avec les appareils Wi‑Fi bas de gamme, je ne trouve pas ça si exceptionnel.
  • J’utilise une vieille brosse à dents Philips sans Bluetooth, sans Internet et sans têtes verrouillées par le fabricant, et elle se recharge même sans fil dans un verre. Je l’aime beaucoup.
    Récemment, j’ai voulu en acheter une deuxième, mais je n’ai trouvé que des modèles plus récents avec des fonctions inutiles dont je ne veux pas. Qui peut bien vouloir connecter sa brosse à dents à Internet ? J’ai fini par trouver un ancien stock sur eBay. Ça peut paraître cruel, mais j’espère que l’imbécile qui a décidé d’intégrer ces fonctions au produit, ainsi que le sous-fifre qui les a implémentées, passent une mauvaise journée aujourd’hui et repensent à la sagesse de ce qu’ils ont fait.

    • Le Wi‑Fi est ridicule, mais la connexion Bluetooth/appli a de vrais avantages. Elle sert à voir quelles zones on est en train de brosser et lesquelles on oublie.
      Depuis que j’ai commencé à utiliser une brosse à dents connectée avec une appli mobile, mon dentiste a constaté que la plaque derrière mes molaires s’était nettement améliorée.
  • Si l’avertissement consiste à dire « maintenez les appareils, firmwares et logiciels à jour, surveillez les activités suspectes, installez et utilisez un logiciel de sécurité, et suivez les bonnes pratiques de sécurité réseau », alors autant n’autoriser l’achat de brosses à dents connectées qu’aux consommateurs titulaires d’une certification obligatoire.

    • Évidemment, la responsabilité incombe au propriétaire de l’appareil, et pas au fabricant qui devrait produire des appareils sûrs.
    • « Surveillez les activités suspectes sur le réseau », vraiment. C’est demander à des gens pour qui le routeur n’est qu’une boîte qui donne Internet de lancer une capture de paquets et d’en interpréter les résultats.
  • J’avais mal mémorisé ces deux-là comme une seule BD, mais on ne peut pas tout avoir, apparemment.
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...

  • Avertissement concernant les brosses à dents électriques Philips : impossible de désactiver le Bluetooth, même sans utiliser les fonctions connectées
    Il faut aussi se méfier des purificateurs d’air Philips compatibles Wi‑Fi, car leur fonction de contrôle à distance ne peut pas être désactivée. Pour terminer la configuration, il faut créer un hotspot Wi‑Fi auquel se connecter avec un smartphone ; si l’on n’utilise pas cette fonction, le purificateur d’air crée un hotspot Wi‑Fi permanent qui n’attend plus que d’être exploité.

    • Ça me rappelle quelque chose que j’ai lu il y a quelques jours : Home Assistant avait détecté la brosse à dents Bluetooth des voisins, et la personne pouvait désormais voir quand ils se brossaient les dents
      https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
    • J’ai fini par me débarrasser d’une montre de fitness dont l’autonomie était catastrophique, sans comprendre pourquoi pendant un bon moment. Ce n’est que plusieurs mois plus tard que j’ai compris la même chose : impossible de désactiver le Bluetooth
      L’application du téléphone et la montre essayaient sans cesse de se synchroniser en se cherchant mutuellement. L’alternative consistait à la dissocier, l’utiliser, puis la réappairer pour synchroniser, mais c’était beaucoup trop pénible. Cela dit, l’autonomie s’est réellement améliorée. Je me suis plaint en ligne au support client de l’entreprise, mais eux non plus ne savaient pas pourquoi la batterie était aussi mauvaise ; ils se contentaient de dire que j’avais dû changer un réglage et qu’il fallait essayer de réinitialiser le téléphone aux paramètres d’usine. Depuis que je suis passé chez Polar, ma montre actuelle tient 5 jours sur une charge. Sacré changement par rapport à moins d’une journée.
    • Dans le même registre, il faut aussi se méfier des appareils CPAP de Philips. Ils pulvérisent lentement dans vos poumons, pendant votre sommeil, une mousse cancérogène qui se désagrège
      Quelle merveilleuse entreprise. Après avoir racheté l’un des meilleurs fabricants de CPAP, ils ont économisé sur les matériaux jusqu’à atteindre le point de rendement décroissant d’un rappel pour cancer, et ce n’est pas comme s’ils n’avaient pas eu d’autre option que de le cacher le plus longtemps possible.
    • Quel risque peut exposer le hotspot Wi‑Fi d’un purificateur d’air qui n’est connecté ni à un réseau ni à un ordinateur ?
    • On ne peut peut-être pas désactiver le Bluetooth, mais on peut choisir de ne l’appairer avec rien. On peut aussi supprimer l’appairage après avoir configuré l’appareil.
  • Pourquoi une brosse à dents devrait-elle pouvoir se connecter au Web au départ ? Je comprends que ce soit pour suivre les habitudes de brossage, mais une connexion locale, comme sur le LAN, ne suffirait-elle pas ?

    • Tous les utilisateurs de brosses à dents n’ont pas un serveur chez eux ni la capacité de s’y connecter. Je pense même que la plupart ne savaient pas ce qu’ils activaient en mettant leur brosse à dents en service
      Et il ne faut pas oublier les aspirateurs, réfrigérateurs, lave-linge, cafetières et innombrables autres appareils « intelligents » qui transmettent des données personnelles. J’aimerais presque faire un sondage pour savoir combien de gens sur HN fabriquent exactement ce genre de technologies, combien lisent ce fil, et combien s’en soucient vraiment.
    • Ce n’est pas parce que le vrai modèle économique consiste à vendre des données agrégées ?
    • J’en ai vu récemment en magasin : toutes les brosses à dents mettaient en avant « AI », une appli, du Wi‑Fi/Bluetooth, etc. On dirait qu’il est difficile de trouver un argument de vente haut de gamme raisonnable pour ce genre de produits.
    • Je me pose la même question, mais si la brosse à dents elle-même ne stocke pas les données, quel appareil est censé les recevoir dans un foyer ordinaire ?
  • Je pense que toute technologie passe par une période d’expérimentation avant que son bon usage devienne clair
    C’est ainsi qu’on a eu Project Plowshare pour les bombes, et aujourd’hui on ajoute une connexion Internet même à des appareils qui n’auraient besoin que d’un interrupteur marche/arrêt. Je ne comprends pas vraiment pourquoi on aurait besoin d’une brosse à dents connectée, mais même si l’on voit parfois apparaître des botnets à base de brosses à dents, j’ai beaucoup d’estime pour l’esprit d’expérimentation en lui-même.

    • Bien sûr qu’il faut expérimenter avant que les usages d’une technologie deviennent clairs. Mais comme je le disais ici hier [0], les expériences produisent des résultats très variés, d’où l’existence d’un code de déontologie pour les scientifiques professionnels ; dans l’industrie tech, on a l’impression que cela manque pas mal
      Rien que pour Internet, on a eu environ 40 ans pour « expérimenter ». Il serait temps d’avoir des résultats, des conclusions et des productions un peu mûres
      [0] https://news.ycombinator.com/context?id=39253045
    • Est-ce vraiment une expérimentation, ou simplement un moyen de coller du Wi‑Fi à un appareil pour lui mettre une étiquette de prix plus élevée ?
      Comment vendre le produit X plus cher ? Ajoutez du Wi‑Fi et de l’IA. On peut faire ça avec à peu près n’importe quoi.
    • D’abord, ils sont venus chercher The Onion
      Je n’ai rien dit, car je n’étais pas auteur pour Onion
      Puis ils sont venus chercher Black Mirror
      Je n’ai rien dit, car je n’étais pas auteur pour Mirror
      Puis ils sont venus chercher Horselover Fat…
      La folie est déjà là. Elle n’est simplement pas distribuée uniformément.
    • Ce n’est pas une expérience. C’est un modèle économique abouti, avec même un acronyme bien connu : SaaS
      Le « pourquoi » est clair. Il existe toujours un marché pour des données agrégées sur le comportement humain.
    • Plus besoin d’apprendre l’honnêteté aux enfants. Il suffit de surveiller leurs brosses à dents.
  • Stanislav Lem a écrit « Washer Tragedy », où les machines à laver deviennent intelligentes et prennent le contrôle ; je pense qu’il aurait été fier de voir ce genre de brosse à dents.

  • Je redoute l’inévitable guerre des godemichés connectés de 2037. Des millions de godemichés et de réfrigérateurs en réseau sèment le chaos sur tout Internet, causent des milliards de dollars de dégâts, et les « suspects sont toujours en fuite ».

    • « Godemiché connecté compatible ChatGPT » est une insulte mortelle envers les commentateurs d’Internet.
    • Il n’y avait pas déjà eu une affaire de godemiché connecté en 2022 ?
      Il me semble qu’il s’agissait de fuites d’enregistrements vocaux créés par l’application compagnon.