Getty Images | Photothèque scientifique
Ces derniers jours, vous avez peut-être entendu parler du terrifiant botnet composé de 3 millions de brosses à dents électriques infectées par des logiciels malveillants. Pendant que vous vous occupiez distraitement de votre hygiène bucco-dentaire, vous ne saviez pas que votre brosse à dents et des millions d’autres étaient contrôlées à distance par d’infâmes criminels.
Hélas, la fiction est parfois plus étrange que la vérité. Il n’y avait pas vraiment 3 millions de brosses à dents connectées à Internet qui ont accédé au site Internet d’une entreprise suisse lors d’une attaque DDoS qui a causé des millions de dollars de dégâts. Le botnet des brosses à dents n’était qu’un exemple hypothétique que certains journalistes ont interprété à tort comme s’étant réellement produit.
Tout a apparemment commencé avec un article du 30 janvier du quotidien suisse alémanique Aargauer Zeitung. Tom’s Hardware a contribué à diffuser l’histoire en anglais mardi cette semaine dans un article intitulé « Trois millions de brosses à dents intelligentes infectées par des logiciels malveillants utilisées dans les attaques DDoS en Suisse ».
Tom’s Hardware a écrit :
Selon un récent rapport publié par l’Aargauer Zeitung, environ trois millions de brosses à dents intelligentes ont été infectées par des pirates informatiques et réduites en esclavage dans des botnets. Le rapport source indique que cette armée importante d’outils de nettoyage dentaire connectés a été utilisée dans une attaque DDoS sur le site Web d’une entreprise suisse. Le site de l’entreprise s’est effondré sous la pression de l’attaque, ce qui aurait entraîné une perte de millions d’euros d’activité.
Dans ce cas particulier, on pensait que le botnet de la brosse à dents était vulnérable en raison de son système d’exploitation basé sur Java. Aucune marque particulière de brosse à dents n’a été mentionnée dans le rapport source. Normalement, les brosses à dents auraient utilisé leur connectivité pour suivre et améliorer les habitudes d’hygiène bucco-dentaire des utilisateurs, mais après une infection par un logiciel malveillant, ces brosses à dents ont été regroupées dans un botnet.
Est-ce que cela a un sens ?
Les experts en sécurité ont fait des trous dans l’histoire, affirmant que la description du botnet semblait être hypothétique et n’avait de toute façon pas vraiment de sens. Matthew Remacle, chercheur en sécurité appelé C’est absurde mardi, soulignant que les brosses à dents intelligentes se connectent simplement aux téléphones via Bluetooth au lieu de se connecter directement à Internet.
« Une compromission de la chaîne d’approvisionnement/une porte dérobée dans l’application pour brosses à dents serait comme… la seule façon pour cette histoire d’être vraie, même à distance, parce que les téléphones ont Internet et les brosses à dents non. Mais ce n’est pas un botnet de brosses à dents, c’est un run- botnet téléphonique du genre », a-t-il écrit.
Expert en sécurité Robert Graham dit il n’y a « aucune preuve que 3 millions de brosses à dents ont effectué un DDoS », et que l’hypothèse proposée par une société de sécurité a été « mal interprétée par un journaliste ».
« Qu’est-ce qui ne va pas chez vous les gars ???? Il n’y a aucun détail, comme qui est la cible du DDoS ? quelle était la marque des brosses à dents ? comment sont-elles connectées à Internet (indice : elles le sont) t, ils sont Bluetooth)? » Graham a écrit.
Entreprise de sécurité : fiction et réalité étaient « floues »
L’hypothèse provenait à l’origine de la société de sécurité Fortinet. Hier, un article de 404 Media démystifiant l’histoire virale citait Fortinet confirmant que le botnet n’était pas réel. « FortiGuard Labs n’a pas observé que Mirai ou d’autres botnets IoT ciblent les brosses à dents ou des appareils intégrés similaires », a déclaré Fortinet.
Tom’s Hardware a depuis mis à jour son histoire, citant Fortinet expliquant :
Pour clarifier, le sujet des brosses à dents utilisées pour les attaques DDoS a été présenté lors d’un entretien comme une illustration d’un type d’attaque donné, et il ne s’appuie pas sur des recherches de Fortinet ou de FortiGuard Labs. Il semble qu’en raison des traductions, le récit sur ce sujet a été étiré au point que les scénarios hypothétiques et réels sont flous.
La mise à jour de Tom’s Hardware cite l’article en langue allemande sur le botnet de brosses à dents selon lequel l’incident « s’est réellement produit ». L’exécution du texte allemand via Google Translate produit ce qui suit : « Cet exemple, qui ressemble à un scénario hollywoodien, s’est réellement produit. »
Le journal de langue allemande a publié aujourd’hui un article de suivi qui cite la déclaration de Fortinet selon laquelle le botnet de brosses à dents n’était pas réel.
Compte tenu des doutes quant à la pertinence de ce scénario en tant qu’hypothèse, nous avons contacté Fortinet pour lui demander des détails sur la façon dont un botnet de brosses à dents pourrait fonctionner si les pirates étaient déterminés à le réaliser. Nous mettrons à jour cet article si nous obtenons une réponse.
« Quelle est la prochaine étape, du fil dentaire infecté par un logiciel malveillant ? »
En plus de Tom’s Hardware, ZDNet a diffusé la fiction en anglais avec une histoire intitulée « 3 millions de brosses à dents intelligentes viennent d’être utilisées dans une attaque DDoS. Vraiment ».
« Quelle est la prochaine étape, du fil dentaire infecté par un malware ? » » a demandé ZDNet. ZDNet a reconnu que cela ne s’était pas réellement produit dans une version mise à jour de l’article qui insistait sur le fait que l’attaque « pourrait se produire ».
The Independent, un site d’information en ligne britannique, a fait marche arrière de la même manière. Son article original était intitulé « Des millions de brosses à dents piratées utilisées dans une cyberattaque en Suisse, selon un rapport ». La nouvelle version de The Independent est intitulée « Des millions de brosses à dents piratées pourraient être utilisées dans le cadre d’une cyberattaque, préviennent les chercheurs. »
Graham a félicité hier Fortinet pour « Faire la bonne chose » en déclarant clairement aux médias que l’histoire du botnet était fausse. Bien qu’il ait reproché aux journalistes cette interprétation erronée, Graham a également critiqué Fortinet pour avoir fait des « affirmations vagues et non fondées » sur « quelque chose qui pourrait arriver ».
« Toute cette histoire est de la merde », a-t-il écrit.