Les appareils obsolètes sont souvent des cibles faciles pour les attaquants, surtout s'ils présentent des vulnérabilités qui peuvent être exploitées et qu'aucun correctif n'est disponible en raison de leur fin de vie.
Le piratage d'appareils obsolètes ou vulnérables est un problème, mais pourquoi tenter de pirater des appareils en fin de vie ou fonctionnant avec des logiciels qui ne sont plus pris en charge ? Pour prendre le contrôle ? Pour espionner les gens ? La réponse est très variée.
La fin de vie de votre appareil approche
Il arrive un moment où un appareil devient obsolète, que ce soit parce qu'il est trop lent, que son propriétaire en achète un nouveau ou qu'il manque de fonctionnalités par rapport à un modèle dernier cri. Le fabricant se concentre alors sur un nouveau modèle et désigne l'ancien comme étant en fin de vie (EOL).
À ce stade, les fabricants cessent de commercialiser, de vendre ou de fournir des pièces, des services ou des mises à jour logicielles pour le produit. Cela peut signifier beaucoup de choses, mais de notre point de vue, cela signifie que la sécurité de l'appareil n'est plus correctement maintenue, ce qui rend l'utilisateur final vulnérable.
Une fois l'assistance terminée, les cybercriminels peuvent commencer à prendre le dessus. Les appareils tels que les caméras, les systèmes de téléconférence, les routeurs et les serrures intelligentes ont des systèmes d'exploitation ou des microprogrammes qui, une fois obsolètes, ne reçoivent plus de mises à jour de sécurité, ce qui laisse la porte ouverte au piratage ou à d'autres utilisations abusives.
Selon les estimations, il existe environ 17 milliards d'appareils IdO dans le monde - des caméras de porte aux téléviseurs intelligents - et ce nombre ne cesse d'augmenter. Supposons qu'un tiers d'entre eux seulement deviennent obsolètes en cinq ans. Cela signifie qu'un peu plus de 5,6 milliards d'appareils pourraient devenir vulnérables à l'exploitation - pas tout de suite, mais au fur et à mesure que l'assistance se tarit, la probabilité augmente.
Très souvent, ces appareils vulnérables peuvent finir par faire partie d'un botnet - un réseau d'appareils transformés en zombies sous les ordres d'un pirate informatique.
Les encombrants des uns sont les trésors des autres !
Mozi est un bon exemple de réseau de zombies exploitant des appareils IoT obsolètes et vulnérables. Ce botnet était tristement célèbre pour avoir détourné des centaines de milliers d'appareils connectés à Internet chaque année. Une fois compromis, ces appareils étaient utilisés pour diverses activités malveillantes, notamment le vol de données et la diffusion de charges utiles de logiciels malveillants. Ce réseau de zombies était très persistant et capable d'une expansion rapide, mais il a été démantelé en 2023.
L'exploitation des vulnérabilités d'un appareil tel qu'une caméra vidéo IoT pourrait permettre à un pirate de l'utiliser comme outil de surveillance et de vous espionner, vous et votre famille. Des attaquants à distance pourraient prendre le contrôle de caméras vulnérables connectées au web, une fois leur adresse IP découverte, sans avoir eu accès à la caméra auparavant ou sans connaître ses identifiants de connexion. La liste des dispositifs IoT vulnérables en fin de vie s'allonge, les fabricants ne prenant généralement pas de mesures pour corriger ces appareils, puisqu’ils ont cessé de les fabriquer.
Vous vous demandez peut-être pourquoi une personne continuerait d’utiliser un appareil qui n’est plus pris en charge. Les raisons sont diverses et peuvent être compréhensibles : il peut s’agir d'un manque de sensibilisation ou d'un refus d'acheter un produit neuf bénéficiant d’une mise à jour. Toutefois, l'utilisation de ces appareils devrait être à éviter, en particulier lorsque les mises à jour de sécurité ne sont plus disponibles.
Alors, pourquoi ne pas leur donner une nouvelle utilité ?
Vieil appareil, nouvel usage !
Une nouvelle tendance est apparue en raison de l'abondance d'appareils IdO parmi nous : la réutilisation d'anciens appareils à de nouvelles fins. Par exemple, transformer votre vieil iPad en télécommande de maison intelligente, ou utiliser un vieux téléphone comme cadre photo numérique ou comme GPS de voiture. Les possibilités sont nombreuses, mais il ne faut pas perdre de vue la sécurité : ces appareils électroniques ne doivent pas être connectés à Internet en raison de leur vulnérabilité.
Par ailleurs, se débarrasser d'un ancien appareil en le jetant n'est pas non plus une bonne idée du point de vue de la sécurité. Outre l'aspect environnemental qui consiste à ne pas encombrer les décharges avec des matériaux toxiques, les vieux appareils peuvent contenir des trésors d'informations confidentielles collectées au cours de leur durée d'utilisation.
Là encore, les appareils non pris en charge peuvent également devenir des zombies dans un réseau de zombies - un réseau d'appareils compromis contrôlés par un pirate et utilisés à des fins malveillantes. Ces appareils zombies finissent le plus souvent par être utilisés pour des attaques par déni de service distribué (DDoS), qui surchargent le réseau ou le site web de quelqu'un pour se venger, ou à d'autres fins, par exemple pour détourner l'attention d'une autre attaque.
Les botnets peuvent causer beaucoup de dégâts et il faut souvent une coalition (souvent composée de plusieurs forces de police coopérant avec les autorités de cybersécurité et les fournisseurs) pour démanteler ou perturber un botnet, comme dans le cas du botnet Emotet. Cependant, les réseaux de zombies sont très résistants et peuvent réapparaître après une interruption, provoquant d'autres incidents.
Un monde intelligent, des criminels futés et des zombies
Il y a encore beaucoup à dire sur la façon dont les appareils intelligents représentent de nouveaux moyens pour les escrocs d'exploiter les utilisateurs et les entreprises peu méfiants, et le débat sur la sécurité des données et la protection de la vie privée mérite d'être approfondi.
Toutefois, ce qu'il faut retenir de tout cela, c'est qu'il faut toujours garder ses appareils à jour et, lorsque ce n'est pas possible, essayer de s'en séparer de manière sécurisée (en effaçant les anciennes données), de les remplacer par un nouvel appareil, ou de leur trouver une nouvelle utilité, beaucoup moins connectée.
Les appareils obsolètes peuvent être des cibles faciles. En les déconnectant d'internet ou en cessant de les utiliser, vous vous sentirez en sécurité et à l'abri de tout dommage cyber.
