Sans effraction

Dim 19 janvier 2014

Sans effraction

The Holland Tunnel connecting New Jersey with lower Manhattan is just over a mile and a half long. One of six thoroughfares managed by the Port Authority of New York and New Jersey, it features 84 massive fans that can change out air throughout the tunnel every 90 seconds.

One Monday morning in the middle of rush hour, those fans suddenly stop. So do the ventilation systems of every other tunnel leading into Manhattan. Within minutes, air quality nose-dives—though, oddly, automatic alarms fail to sound. Drivers woozy from carbon monoxide plow into guardrails, walls, and each other. The carnage is terrible; multiple huge pileups block exits in all directions, trapping thousands of people amid toxic fumes and inevitable conflagrations as spilled gasoline ignites.

Over on the George Washington Bridge, all is chaos when a string of BMW M7 coupes—the hot new car among Wall Streeters—experience multiple-tire blowouts while crossing the span. Many drivers survive the resulting crashes thanks to airbags; others are not so lucky after exiting their crumpled vehicles, only to find another 4,642 pounds of luxury sports car screeching toward them, sparks flying from their tireless rims.

Brian Proffitt - “The Internet Of Things Might Try To Kill You”

Dans le bouillonnement de mon lecteur de news, je n’avais pas vu passer cet article à l’époque. Je ne sais même pas comment il est véritablement remonté dans ma liste de lecture ces jours-ci. Sans doute parce que je tente de me mettre à niveau sur ce vaste sujet qu’est l’Internet des objets, IoT pour les intimes. L’article en soi est assez captivant, très intéressant et devrait en interpeler plus d’un (et prenez le temps d’en suivre chacun des liens y figurant). Néanmoins, je n’y fais allusion que pour une toute autre raison.

Alors qu’il recentre son article sur des exemples plus concrets, l’auteur mentionne Shodan, un moteur de recherche recensant les objets connectés à l’Internet. Tout comme l’article, j’avais vu passer quelques références à ce service; je m’étais promis d’aller jeter un oeil et, comme trop souvent, j’avais remis cela à plus tard, jusqu’à l’oubli. J’ai donc interrompu ma lecture pour en faire un test rapide. L’occasion, le larron, et toute cette sorte de choses.

Première impression : c’est un peu “rugueux” en terme d’interface, pas vraiment intuitif pour le nouvel arrivant. Mais après un tour rapide du côté de la documentation, on peut assez facilement se mettre à l’utiliser. Et c’est là que les choses se “compliquent”. Il y a moyen de filtrer les requêtes géographiquement : j’ai donc limité ma recherche à ma ville de résidence, en demandant juste des références au serveur HTTP Nginx.

Première surprise pour moi, cela m’a permis de découvrir que l’interface des Freebox Révolution reposait sur cet outil. Seconde surprise, cela signifie également que les Freebox Révolution sont aisément détectables depuis l’extérieur. J’ai donc cliqué sur quelques adresses IP retournées par Shodan et alors pu remarquer qu’une bonne moitié de ma petite sélection étaient configurées pour un accès distant. Constat suffisant pour piquer ma curiosité : cette proportion serait-elle la même si j’élargis ma sélection d’IP ? (Réponse courte : oui.)

Cette petite opération bénigne de recensement a néanmoins tourné au cauchemar. Quelque part au milieu de cette liste de résultat trainait une allusion à un message d’erreur “502 Bad Gateway”, signe assez caractéristique d’un Nginx qui se met un peu en carafe. Forcément, par réflexe, j’ai cliqué sur l’IP pour voir de quoi il en retournait. Les choses se sont alors gâtées.

Point de mire Nginx ou Freebox OS, non. Mais l’interface Web d’un NAS Lenovo ix2, affichant crânement son arborescence ! Et quelle arborescence ! Une succession de partages et dossiers bien rangés et explicitement nommés, résultat d’un bon sens de l’organisation (à mon avis). Tellement bien organisé qu’aucun effort n’était nécessaire pour trouver les scans des papiers d’identité du propriétaire supposé, le scan de la carte grise d’un de ses véhicules et même… un fichier Excel référençant l’ensemble de ses cartes bancaires personnelles et professionnelles, numéros, dates d’expiration et codes confidentiels compris.

Passé un moment de profond effarement, j’ai fini par réaliser à quel point la situation était gênante. Et inconfortable. Et déstabilisante. Que suis-je supposé faire (hormis mettre fin sur le champ à mon “intrusion” involontaire, évidemment) ?

Trouver un moyen de contacter la personne pour l’avertir ? Ce serait me mettre à sciemment chercher des informations à son sujet, rendant la chose personnelle et probablement un peu plus malsaine encore. Et comment faire comprendre qu’il n’y avait aucune intention malveillante derrière tout cela ? Ou alors ne rien faire, ne rien dire, passer à autre chose comme si de rien n’était ? Combien de temps me faudra-t-il pour oublier que je laisse quelqu’un à la merci d’un éventuel voleur d’identité, d’un maitre-chanteur ou peut-être même d’un agresseur (rappelez-vous la liste des cartes bancaires) ?

Je ne suis pas expert en sécurité informatique. Tout au plus suis-je (de plus en plus) sensibilisé à cette problématique, d’autant que je ne suis qu’une victime en puissance parmi tant d’autres. Je ne pense pas que ce brave homme s’est inscrit dans une démarche volontaire d’ouverture au public d’une masse d’informations personnelles et sensibles. Tout au plus a-t-il mal renseigné un paramètre de configuration, activé une malencontreuse option, chose qui peut arriver (et arrivera forcément au moins une fois) à chacun d’entre nous.

Comment pouvons-nous éviter cela ?