Une histoire qui a fait le tour du web ces derniers jours affirmait quun groupe de hackers avait cr un botnet compos de 3 millions de brosses dents lectriques connectes, et quil lavait utilis pour mener une attaque DDoS contre le site web dune entreprise suisse, lui causant des millions deuros de pertes. Cette histoire, qui semblait assez folle pour tre vraie, tait en fait fausse, base sur une mauvaise interprtation dun exemple hypothtique donn par des chercheurs en scurit informatique.
Ces derniers jours, vous avez peut-tre entendu parler du terrifiant botnet compos de 3 millions de brosses dents lectriques infectes par des logiciels malveillants. Pendant que vous vous occupiez distraitement de votre hygine bucco-dentaire, vous tiez loin de vous douter que votre brosse dents et des millions d’autres taient contrles distance par d’infmes criminels.
Hlas, la fiction est parfois plus trange que la vrit. Il n’y a pas vraiment eu 3 millions de brosses dents connectes l’internet qui ont accd au site web d’une entreprise suisse dans le cadre d’une attaque DDoS qui a caus des millions de dollars de dgts. Le botnet de brosses dents n’tait qu’un exemple hypothtique que certains journalistes ont interprt tort comme s’tant rellement produit.
Lhistoire a t publie pour la premire fois par le quotidien suisse almanique Aargauer Zeitung le 30 janvier, qui citait des chercheurs de Fortinet, une entreprise de scurit base en Californie. Cette histoire, qui sonnait comme un scnario de science-fiction, a ensuite t reprise par de nombreux mdias anglophones. L’un d’eux disait par exemple :
Selon un rcent rapport publi par l’Aargauer Zeitung, environ trois millions de brosses dents intelligentes ont t infectes par des pirates informatiques et intgres des rseaux de zombies. Le rapport de la source indique que cette arme considrable d’outils de nettoyage dentaire connects a t utilise dans une attaque DDoS contre le site web d’une entreprise suisse. Le site de l’entreprise s’est effondr sous la pression de l’attaque, ce qui aurait entran la perte de millions d’euros de chiffre d’affaires.
Dans ce cas particulier, le botnet de brosses dents aurait t vulnrable en raison de son systme d’exploitation bas sur Java. Aucune marque particulire de brosse dents n’a t mentionne dans le rapport de la source. Normalement, les brosses dents auraient utilis leur connectivit pour suivre et amliorer les habitudes d’hygine bucco-dentaire des utilisateurs, mais aprs une infection par un logiciel malveillant, ces brosses dents ont t transformes en botnet.
Il y avait une certaine logique cela. Les cybercriminels peuvent tre trs cratifs quand il sagit dutiliser des objets connects pour construire des rseaux malveillants ; les auteurs du clbre botnet Mirai avaient notamment utilis plus de 100 000 appareils intelligents pour crer lun des botnets les plus redoutables de lhistoire. Alors pourquoi ne pas utiliser une brosse dents ou deux ?
Les lacunes de cette histoire
Le problme, cependant, est que tous les objets connects ne se valent pas. Lhistoire de la brosse dents sest effondre aprs que des experts en scurit sur Twitter ont commenc remettre en question la crdibilit de ce scnario sur X/Twitter. Ils ont mis le doigt sur les lacunes de l’article, affirmant que la description du rseau de zombies semblait tre hypothtique et n’avait pas vraiment de sens de toute faon. Le chercheur en scurit Matthew Remacle a qualifi cette description d’absurde mardi, soulignant que les brosses dents connectes se couplent simplement avec les tlphones via Bluetooth au lieu de se connecter directement l’internet :
Le « botnet de 3 millions de brosses dents IoT » n’a aucun sens. Tout d’abord, il n’y a que quelques rares vendeurs de brosses dents qui auraient ce numro, et encore moins qui l’auraient ouvert par erreur l’internet. De plus, ces brosses dents sont quipes de Bluetooth. Elles n’ont pas d’internet[…]. La seule faon pour que cette histoire soit un tant soit peu vraie, parce que les tlphones ont Internet et les brosses dents n’en ont pas. Mais dans ce cas, il ne s’agit pas d’un botnet de brosses dents, mais d’un botnet de tlphones ordinaires .
Y’all, the « 3 million IoT toothbrush botnet » is nonsense.
For starters, there’s only a very select few toothbrush vendors who would even have that #, much less mistakenly opened to the internet.
Additionally, those toothbrushes are bluetooth. They don’t have internet.— remy🐀 (@_mattata) February 7, 2024
Robert Graham, expert en scurit, a dclar qu’il n’y avait aucune preuve que 3 millions de brosses dents aient provoqu un DDoS et que l’hypothse propose par la socit de scurit avait t mal interprte par le journaliste :
Foutaises. Il n’y a aucune preuve que 3 millions de brosses dents aient provoqu un DDoS.
Qu’est-ce qui ne va pas chez vous ? ? ??? Il n’y a pas de dtails, comme qui est la cible du DDoS ? quelle tait la marque des brosses dents ? comment sont-elles connectes Internet (indice : elles ne le sont pas, elles sont Bluetooth) ?
Tout ce que nous avons, c’est un reprsentant d’une socit de scurit qui fait des dclarations vagues et non fondes, plutt du type « c’est quelque chose qui pourrait arriver » au lieu de dire que cela s’est rellement produit, et qui sont leur tour mal interprtes par un journaliste. L’ensemble de l’histoire n’est que de la merde.
Bullshit. There’s no evidence 3 million toothbrushes performed a DDoS.
What the f*** is wrong with you people???? There are no details, like who is the target of the DDoS? what was the brand of toothbrushes? how are they connected to the Internet (hint: they aren’t, they are https://t.co/kc4DV9RO5v
— Robᵉʳᵗ Graham 𝕏 (@ErrataRob) February 7, 2024
L’histoire est officiellement dmentie
Un article de 404 Media a cit des experts sceptiques, qui ont mis en doute la validit du rcit. Maintenant, lhistoire a t officiellement dmentie.
Selon Fortinet, les journalistes suisses qui ont diffus lhistoire ont mal interprt les chercheurs lors dune interview, ce qui a ensuite amen les mdias amricains reprendre sans critique le faux rcit et le faire circuler davantage. Dans une dclaration, Fortinet a clarifi que lincident de la brosse dents navait pas rellement eu lieu, et quil sagissait plutt dune exprience de pense que de toute autre chose :
Pour clarifier, le sujet des brosses dents utilises pour des attaques DDoS a t prsent lors dune interview comme une illustration dun type dattaque donn, et il nest pas bas sur des recherches de Fortinet ou de FortiGuard Labs. Il semble quen raison des traductions, le rcit sur ce sujet a t tir au point o les scnarios hypothtiques et rels sont flous .
The Independent, un site d’information en ligne britannique, a fait marche arrire de la mme manire. Son article original tait intitul « Des millions de brosses dents pirates ont t utilises dans une cyberattaque suisse, selon un rapport ». La nouvelle version de The Independent est intitule « Des millions de brosses dents pirates pourraient tre utilises dans une cyberattaque, avertissent des chercheurs ».
Graham a flicit Fortinet pour avoir fait ce qu’il fallait en dclarant clairement aux mdias que l’histoire du botnet tait fausse. Bien qu’il ait reproch aux journalistes d’avoir mal interprt l’information, Graham a galement critiqu Fortinet pour avoir fait des affirmations vagues et non fondes sur quelque chose qui pourrait se produire .
Mais le journal qui a publi cette histoire en premier conteste la version de la « mauvaise traduction »
Couvrir la cyberscurit en tant que journaliste peut tre dlicat. De nombreuses histoires sont prsentes comme des recherches par des entreprises de scurit, et ces entreprises ont intrt exagrer un peu leurs rsultats pour attirer lattention sur leur activit. En effet, le journal suisse au centre du drame de la brosse dents a accus Fortinet davoir faussement affirm que lhistoire tait relle. Le journal affirme, dans une dclaration publie sur son site web, que lexcuse dune erreur de traduction est, elle-mme, invente :
Notre article sur les brosses dents lectriques, qui aurait t impliqu dans une cyberattaque, est devenu viral. Il a suscit le scepticisme dans les milieux d’experts. Le contexte.
« Les brosses dents attaquent ». C’est sous ce titre que CH Media a rapport la semaine dernire une cyberattaque impliquant 3 millions de brosses dents manipules. L’tude de cas manait de la socit de cyberscurit Fortinet, un leader mondial dont la valeur boursire avoisine les 50 milliards de dollars.
Ce cas inhabituel a eu un cho considrable. Elle a rapidement circul dans les mdias internationaux, de l' »Independent » britannique au « Times of India » indien. Grce son norme porte, elle a galement attir l’attention de spcialistes du monde entier. Nombre d’entre eux se sont montrs trs sceptiques face ce rcit. Certains ont lanc l’alerte aux fake news. Il s’agit d’une « pure fiction » ; c’est un exemple « invent » ; il n’y a « aucune preuve que l’attaque ait jamais eu lieu ». L’histoire est mme utilise comme propagande dans les discussions russes sur Telegram, comme l’a crit l’expert en cyberscurit Kevin Beaumont sur X. Les utilisateurs de Telegram ont t informs de l’existence d’une telle attaque.
Jeudi matin, plusieurs mdias, dont l' »Independent », ont diffus une dclaration de Fortinet : le cas aurait t utilis comme exemple d’attaque DDoS lors d’une interview. Le cas ne serait toutefois pas bas sur des recherches de Fortinet. « Il semble qu’en raison de traductions, le rcit sur ce sujet ait t tir au point de brouiller les scnarios hypothtiques et rels », crit la socit de cyberscurit.
L’exemple a t prsent comme rel
Ce que le sige de Fortinet en Californie qualifie maintenant de « problme de traduction » a eu un tout autre cho lors des recherches : lors d’un entretien portant sur les menaces actuelles, des reprsentants suisses de Fortinet ont prsent le cas de la brosse dents comme une attaque DDoS relle.
Fortinet a fourni des dtails concrets ce sujet : des indications sur la dure pendant laquelle l’attaque a paralys le site web d’une entreprise suisse ; un ordre de grandeur sur l’ampleur des dommages causs. Fortinet n’a pas voulu rvler de quelle entreprise il s’agissait par respect pour son client.
Le texte a t soumis Fortinet pour vrification avant sa publication. La phrase selon laquelle il s’agit d’un cas rel, qui s’est rellement produit, n’a pas t conteste.
La direction mondiale de Fortinet a maintenant fait marche arrire avec sa dclaration, qui a t envoye diffrents mdias internationaux. L’entreprise n’a pas envoy cette dclaration CH Media. Nous n’avons pas non plus reu d’autre dclaration de Fortinet.
Quoi quil en soit, il semble que lhistoire de la brosse dents soit un cas dcole de la dsinformation involontaire, o un malentendu initial se transforme en une rumeur incontrlable. Il faut donc toujours tre prudent et vrifier les sources avant de croire tout ce quon lit sur Internet. Surtout quand il sagit de brosses dents.
Sources : Aargauer Zeitung (1, 2)
Et vous ?
Que pensez-vous de lhistoire de la brosse dents ? Est-ce que vous lavez crue quand vous lavez lue ?
Croyez-vous en la thorie de la mauvaise traduction avance par Fortinet dans d’autres mdias ou croyez-vous plutt en l’histoire du quotidien suisse qui explique que le cas lui a t prsent comme tant rels et qu’en plus Fortinet avait reu le texte avant publication pour vrification ?
Quels sont les risques et les opportunits des objets connects pour la scurit et la vie prive ?
Comment vrifiez-vous la fiabilit des informations que vous trouvez sur Internet ? Quels sont les critres ou les sources que vous utilisez ?
Avez-vous dj t victime ou tmoin dune attaque DDoS ? Si oui, comment avez-vous ragi ? Si non, comment vous y prpareriez-vous ?
Quelles sont les mesures que les entreprises, les gouvernements et les individus devraient prendre pour prvenir et combattre les cyberattaques ?