L'argent fait tourner le monde...


Il y a quelques années, alors que les téléviseurs intelligents commençaient à s'imposer, j'ai sondé le potentiel d'abus possible - il est définitivement présent.
D'une part, la faisabilité technique : l'utilisation de technologies connues - qui ont déjà connu des failles par le passé et pour lesquelles il fallait déjà s'attendre statistiquement à d'autres failles - rendait les attaques probables.
Des facteurs tels que la diffusion encore faible, le paysage fragmenté des plateformes ainsi que l'absence de modèle commercial ont joué un rôle décisif.
À l'époque, nous plaisantions encore entre collègues sur un modèle commercial possible : l'affichage d'un message de blocage ("Cher spectateur, contre paiement d'un montant XY, vous pouvez continuer à suivre le match") pendant la finale de l'Euro de football, par exemple...
Le plaisir est devenu sérieux
Malheureusement, cette plaisanterie a été rattrapée par la réalité. Il existe désormais des logiciels malveillants pour les téléviseurs intelligents basés sur Android, pour les ordinateurs normaux, on les qualifierait de chevaux de Troie d'extorsion.
Elle verrouille la télévision et affiche un prétendu message de la "US Cyber Police". Le téléspectateur y est accusé d'un délit qu'il n'a bien sûr pas commis - et dont il peut se débarrasser en payant des cartes-cadeaux iTunes d'une valeur d'environ 200 dollars US.
Il n'y a pas si longtemps, les utilisateurs de PC ont été victimes du même procédé sous la forme du "cheval de Troie BKA".
Alors pourquoi "tout à coup" des téléviseurs intelligents ?
Alors qu'au début des téléviseurs intelligents, il existait de nombreuses plates-formes différentes, Android s'est entre-temps imposé sur un large front. Cela signifie que du point de vue des cybercriminels, le rapport entre les efforts de développement et le nombre de victimes potentielles est "meilleur".
De plus, ils ont perfectionné le développement de logiciels malveillants sur les appareils mobiles - et l'effort d'apprentissage est donc comparativement faible sur les Smart TV.
Et comme les téléviseurs intelligents se sont entre-temps vendus en masse, le nombre de victimes potentielles a naturellement aussi augmenté.
Ce cas illustre une leçon importante avec les cybercriminels : Tout ce qui est techniquement faisable n'est pas forcément fait. Ce n'est pas parce qu'un système est vulnérable que des armées de cybercriminels s'y précipitent nécessairement.
D'un point de vue marketing, la simple existence d'un risque est évidemment une raison suffisante pour s'engouffrer dans la brèche. L'aspect décisif est la probabilité d'occurrence ! Dans le cas d'attaques "normales", elle dépend du gain potentiel.
Nous avons souvent observé cette évolution par le passé : Spam, hameçonnage, chevaux de Troie, failles de sécurité, données personnelles. Ce n'est qu'à partir du moment où il a été possible de gagner de l'argent que les choses ont commencé à se gâter - pour parler vulgairement.
C'est pourquoi, dès le début des Smart TV, il était clair que des attaques se produiraient dès qu'un modèle commercial se développerait ou deviendrait rentable.
Cela signifie-t-il que l'on peut ignorer les risques dont le modèle économique n'est pas encore viable ?
Du point de vue de la prise en compte des risques : non ! Toutefois, la probabilité d'occurrence doit être adaptée. Il faut donc garder un œil sur le risque, mais ne pas céder à la panique.
Nous devons simplement être conscients que, tôt ou tard, de nombreuses technologies vulnérables seront détournées à grande échelle. Cela va de pair avec la question du "nettoyage" qui trotte dans la tête de beaucoup.
Et c'est au plus tard à ce moment-là que cela devient absolument désagréable. Avec la Smart TV, on ne peut peut-être tout simplement plus regarder la télévision. Mais alors qu'il est peut-être encore possible de remettre un PC, un appareil mobile ou même un téléviseur dans un état de propreté à un coût raisonnable, cela devient de plus en plus difficile pour un nombre croissant d'appareils embarqués.
D'une part, ils n'ont souvent pas d'interface permettant de faire quelque chose, ni d'accès physique à ceux-ci. Il suffit d'imaginer un petit appareil générique qui lit les capteurs et commande les actionneurs, sans interface et profondément intégré dans de nombreux produits.
Du point de vue des cybercriminels, c'est peut-être le paradis. Techniquement, il est peut-être difficile de le compromettre, mais en cas de succès, cela n'a pas de prix !