Forbes Afrique magazine
Facebook
Twitter
Menu
Techno

Shodan : un Google pour pirates informatiques !

Par Par Kashmir Hill le 1 Janvier 2016

Le moteur de recherche Shodan est un outil utilisé par les gentils comme par les méchants pour repérer tous
les appareils connectés à Internet : feux de signalisation, centrales électriques et même babyphones.



Crédits / Ethan Pines
Crédits / Ethan Pines
Un soir, Marc Gilbert, un habitant de Houston, entend une voix inconnue provenant de la chambre de sa fille de 2 ans : «Réveille-toi, petite saleté.» Il se précipite dans la pièce, réalise que le son provient du babyphone et que la personne contrôle aussi la caméra. Le visiophone, fabriqué par Foscam, permet aux utilisateurs d’accéder via Internet à la surveillance audio et vidéo, où qu’ils se trouvent. Peu avant cet incident, des spécialistes avaient repéré des failles permettant aux pirates de prendre le contrôle de l’appareil ou de se connecter au flux de données avec l’identifiant par défaut «admin». Foscam avait discrètement publié un correctif, mais sans en informer ses clients. Marc Gilbert, en vérifiant son compte Foscam, découvre que le pirate a ajouté son propre identifiant pour se connecter à son gré. Il envisage un recours collectif contre l’entreprise, car il a identifié d’autres plaignants grâce à un moteur de recherche : Shodan. Le pervers l’avait probablement repéré de la même manière.

Shodan fouille Internet à la recherche d’appareils, dont la plupart peuvent être activés via le réseau. Le moteur a recensé voitures, dopplers fœtaux, systèmes de régulation du chauffage de bureaux, stations d’épuration, systèmes de commande de centrales électriques ou feux de signalisation. On trouve ainsi plus de 40 000 autres utilisateurs de la caméra IP de Foscam. Des proies faciles. 

Répertorier les appareils

«Google explore Internet pour indexer les sites. Moi, j’indexe les appareils», explique John Matherly, 29 ans, qui a créé Shodan en 2009. Pour lui, le moteur de recherche devait servir à des géants des réseaux comme Cisco, Juniper ou Microsoft, pour s’informer sur les produits de leurs concurrents. Pourtant, Shodan est devenu indispensable aux spécialistes en sécurité informatique, aux universitaires, à la police et aux pirates. Selon un rapport sectoriel publié par Ericsson, d’ici à 2020, environ 50 milliards d’appareils se retrouveront en réseau dans «l’Internet des objets connectés». John Matherly est le seul à répertorier ces appareils grâce à un moteur de recherche public. «Je ne pense pas que Shodan soit effrayant, dit-il. Ce qui est effrayant, ce sont ces centrales électriques connectées à Internet.»

Shodan a repéré des webcams dont la sécurité était si faible qu’il a suffi de saisir leur adresse IP dans le moteur de recherche pour s’y connecter. Dan Tentler, un spécialiste en sécurité ayant collaboré avec Twitter, a conçu Eagleeyes, qui détecte via Shodan des webcams auxquelles il accède pour effectuer des captures d’écran. Il en a recensé près d’un million. Billy Rios, spécialiste de la sécurité, a détecté une vulnérabilité dans un logiciel, et, à l’aide de Shodan et d’un autre programme, est entré dans les systèmes de sécurité, d’éclairage et de chauffage en ligne de banques, d’immeubles, de centres de congrès et même du siège de Google en Australie. D’après lui, «2 000 installations sont actuellement sur Internet, et il suffirait d’obtenir leur adresse IP pour les contrôler.» Début 2013, le département de la Sécurité intérieure des Etats-Unis a ainsi révélé qu’en 2012 des pirates étaient entrés virtuellement par effraction dans les systèmes de gestion de l’énergie d’une installation d’Etat pour en augmenter le chauffage. Via Shodan. 

Une affaire freemium

John Matherly grandit en Suisse, abandonne le lycée à 17 ans et s’installe aux Etats-Unis chez sa tante. Il travaille dans une librairie, fréquente un community college, puis décroche un diplôme en bio-informatique à l’université de Californie. Il obtient un emploi au San Diego Supercomputer Center, avant de devenir programmeur informatique pour une start-up et designer Web pour l’Union-Tribune, le quotidien de San Diego. Il s’attelle alors à la conception de Shodan. Il choisit le freemium en offrant des services de base gratuits et des options payantes, ce qui permet de payer les factures et d’ajouter des robots qui indexeront une plus grande partie d’Internet. Une recherche gratuite sur Shodan donne droit à dix résultats. Près de 10 000 utilisateurs choisissent de payer au maximum 20 dollars pour accéder aux 10 000 premiers résultats d’une recherche. Une dizaine d’utilisateurs institutionnels, des entreprises de cybersécurité, paient chaque année des dizaines de milliers de dollars pour accéder au 1,5 milliard d’appareils de la base de données. Shodan est clairement l’œuvre d’une seule personne; on est loin de l’interface épurée de Google. Pour obtenir des résultats, il faut au préalable connaître quelques éléments de la signature d’un appareil. Et ces résultats contiennent du langage Internet, le protocole IP, peu familier de l’utilisateur lambda. Mais il s’agit peut-être du moyen le plus efficace pour démontrer l’impact des failles de sécurité d’un produit. La page de résultats affiche une liste de correspondances, qui précise le nombre de dispositifs présents sur Internet et leur localisation.

Les agents fédéraux américains pourraient mettre des bâtons dans les roues de John Matherly s’ils décidaient de le poursuivre en vertu de la loi sur la répression des fraudes et des infractions dans le domaine informatique, qui prohibe l’accès illicite aux systèmes informatiques. En mars 2013, un procureur pugnace a ainsi fait condamner Andrew Auernheimer pour avoir violé l’accès d’un site Internet de la société de télécommunications AT&T. Celle-ci y avait publié par mégarde les adresses électroniques de ses clients détenteurs d’iPad.

Erreurs et négligeance

Au lieu de poursuivre John Matherly en justice, il faudrait le récompenser pour avoir mis en lumière les erreurs incroyables commises par les fabricants de gadgets, et la négligence des consommateurs quant à la sécurité des produits qu’ils achètent. Tous les objets connectés à Internet devraient être protégés par un mot de passe. Et ces appareils ne devraient certainement pas être livrés avec un nom d’utilisateur et un mot de passe par défaut.

En 2012, un utilisateur anonyme a pris le contrôle de plus de 400 000 appareils connectés en utilisant uniquement quatre mots de passe par défaut. Il les a rassemblés dans une base de données similaire à celle de Shodan. «Tout le monde ne parle que de prouesses extraordinaires ou de cyberguerre, écrit ce mystérieux protagoniste, qui a opté pour l’anonymat afin d’éviter tous démêlés avec la justice. Mais il suffit de quatre mots de passe tout bêtes du protocole Telnet pour accéder à des appareils appartenant à des centaines de milliers de particuliers, ainsi qu’à des dizaines de milliers de dispositifs industriels, où qu’ils se trouvent.» John Matherly espère que Shodan encouragera la transparence et exposera les entreprises commercialisant des systèmes vulnérables. Mais il n’est pas optimiste. «Tout ce qui nous entoure sera bientôt connecté à Internet, qu’on le veuille ou non.» DE



Inscription à la newsletter

Découvrez le sommaire des derniers numéros du magazine