in

Shodan : un moteur de recherche pour l’Internet des Objets

Shodan moteur de recherche objets connectes

C’est le rôle d’un moteur de recherche : explorer, référencer et rassembler toutes les adresses accessibles en un index unique. De cette façon, n’importe quel utilisateur a accès à l’ensemble du web en quelques clics. Sur l’Internet traditionnel, ce sont Google, Yahoo!, Bing et d’autres qui se chargent de la tâche, et nous connaissons tous leur efficacité. Aujourd’hui, l’Internet des Objets dispose aussi d’un moteur de recherche dédié et adapté à ce nouvel environnement : son nom est Shodan.

Il n’y pas très longtemps, nous vous parlions du danger que pouvait représenter l’Internet des Objets en matière de sécurité (en prenant l’exemple des frigos), surtout en l’absence d’anti-malwares efficaces. Certains d’entre vous se sont peut-être demandé comment on pouvait parvenir à se connecter à un réfrigérateur à partir d’un ordinateur. Comment détecter leur présence ? Comment se connecter à ces dispositifs sans les posséder ? C’est le rôle d’un moteur de recherche assez particulier nommé Shodan.

Shodan, c’est quoi ?

John Matherly est l’inventeur d’un concept unique : un moteur de recherche recensant tous les objets connectés au monde. Au départ, il ne dispose que d’un ordinateur Dell à 150 euros et un peu de temps libre à consacrer à son projet, qu’il décide d’appeler Shodan. Trois ans de travail sont nécessaires pour que le moteur voie le jour et soit capable de référencer des centaines de millions d’objets chaque mois. A l’origine, il pensait surtout qu’il serait utilisé par les entreprises pour surveiller leurs concurrents ou traquer l’utilisation de leurs logiciels. Au final, les experts en sécurité s’en servent pour débusquer non seulement les logiciels, mais aussi n’importe quel objet connecté.

Concrètement, le fonctionnement de Shodan est comparable à celui de Google. La différence, c’est que ce dernier parcourt l’ensemble du web pour croiser et recenser des URL, alors que Shodan rassemble le reste, principalement les objets reliés à une connexion Internet. Donnez-lui une adresse IP, il vous donnera tous les dispositifs qui y sont connectés. Par conséquent, Shodan agit principalement dans une partie moins visible que le web classique, celui référencé par Google et accessible via n’importe quel navigateur.

Ca se connecte à quoi ?

La question qui se pose, c’est quels sont les dispositifs auxquels il peut avoir accès ? Eh bien, à peu près tout ce que vous pouvez trouver sur notre site, plus beaucoup d’autres choses. Au pif, voici une liste de quelques appareils accessibles depuis Shodan, du plus banal au plus inattendu :

[row]
  • Des centrales électriques

  • Des usines de traitement des eaux

  • Des feux de signalisation

  • Des appareils médicaux

  • Un accélérateur de particules

  • Des barrages hydro-électriques

  • Des éoliennes

  • Des crématorium

  • Un bon millier de webcams et caméras de sécurité

  • Des téléviseurs

  • Des réfrigérateurs

  • Des moniteurs de bébé

  • Des portes de garage

  • Des voitures

  • Des systèmes de chauffage, d’éclairage ou d’alarme

[/row]

Les plus sceptiques seront peut-être intéressés par cette intervention de Dan Tentler au Def Con de 2012, qui s’amuse à faire l’inventaire de toutes les interactions possibles avec plusieurs dispositifs autour du globe, toujours à partir de Shodan :

Les dérives d’un monde hyperconnecté

C’est le côté obscur de l’Internet des Objets : notre quête de confort nous a poussé à relier toutes nos possessions entre elles, mais aussi de toutes les connecter sur le net. Il suffit d’être sur ce réseau pour avoir accès à n’importe quel appareil connecté. Cela devient inquiétant quand on sait que l’IDC prévoit 200 milliards d’objets connectés dans le monde pour 2020 et qu’à ce jour, pratiquement aucun de ces dispositifs n’est protégé par un simple mot de passe. Certaines webcams disposent d’une sécurité tellement basse que l’on peut y accéder simplement en connaissant leur adresse IP. Selon John Matherly, le vrai problème est que très peu de personnes sont au courant du danger que cela implique, que la plupart des gens pensent que si on ne peut pas nous trouver sur Google en tapant notre nom, c’est qu’on ne peut pas nous atteindre. Shodan tend à prouver le contraire, en démontrant que si un objet est connecté à Internet, il est trouvable. Cela peut très bien ne pas se remarquer tout de suite, car il est tout à fait possible d’installer des logiciels dormants dans un système pour ne les activer qu’à un instant stratégique, sans que personne ne le remarque. Et le savoir-faire technique qui sépare la découverte et l’exploitation d’un système n’est peut-être pas si épais que ça

Un moteur difficilement utilisable

Sans être alarmiste, il y a là déjà de quoi se méfier. Pourtant, le papa de Shodan déclare qu’il ne considère pas sa création comme quelque chose d’effrayant. « Il est beaucoup plus effrayant de trouver des centrales électriques connectées à Internet » estime-il. Il faut dire que Shodan est loin d’être accessible au grand public. Pour lancer une requête, il faut savoir ce que l’on cherche, connaître l’adresse IP et les métadonnées que les serveurs renvoient aux objets que l’on cible. Pas vraiment le genre d’informations que possède tout le monde. De plus, Shodan ne vous aide qu’à trouver ces dispositifs, pas à y pénétrer. Si vous voulez déposer votre code source à l’intérieur d’un programme, le moteur ne peut rien pour vous. En revanche, si des appareils connectés ne disposent d’aucune forme de protection, le moteur n’est pas à blâmer. Les pirates ? Ils n’y trouveront pas non plus leur bonheur, puisque Shodan n’est pas un service anonyme : tout y est tracé et vous devrez rapidement fournir des données personnelles si vous souhaitez plus de 50 résultats. Si vous cherchez à vous rassurer, essayez donc de pénétrer un réseau via Shodan. Il est peu probable que vous parveniez à comprendre une simple requête.

Requête Shodan

Il prévient plus qu’il ne menace

Ainsi, pour les humbles utilisateurs d’objets connectés que nous sommes, Shodan ne représente pas une menace majeure. Le piratage des webcams, c’est un problème secondaire que l’on peut éviter en ne la branchant pas sur le réseau (la configuration de base de la plupart des caméras). Pouvoir accéder aux contrôles d’une centrale électrique depuis son salon, c’est autrement plus dangereux. Le problème est que ces contrôles sont à peine protégés et qu’ils le sont principalement pour des questions d’argent. En effet, la plupart de ces usines et centrales se sont contentées de connecter leurs systèmes à Internet lorsque la Toile est apparue, sans vraiment se soucier des problèmes de sécurité que pourraient amener un monde hyperconnecté. Selon le patron de Shodan, la majorité des appareils connectés ne demandent aucun mot de passe. Et quand ils le font, ils s’agit souvent de logins par défaut qui sont facilement accessibles.

Les failles de sécurité mises en évidence par ce moteur de recherche ne se veulent donc pas une fatalité, mais un avertissement. La volonté de Shodan, c’est de démontrer que puisque si peu de réseaux sont impénétrables, la question de la sécurité doit réellement se poser, en particulier pour les entreprises dont les dispositifs connectés peuvent être dangereux. Alors certes, la question existe depuis longtemps, mais avant Shodan, les experts en sécurité n’avaient que peu de preuves pour illustrer les vulnérabilités des réseaux informatiques. Aujourd’hui, cette situation pourrait être rapidement résolue si les responsables en sécurité acceptaient de protéger davantage leurs dispositifs. L’existence d’un moteur de recherche qui vous permet de trouver et de pénétrer n’importe quel réseau avec un minimum de savoir-faire boostera, on l’espère, la sécurité qui entoure nos précieux objets connectés.