Une histoire qui a fait le tour du web ces derniers jours affirmait qu’un groupe de hackers avait créé un botnet composé de 3 millions de brosses à dents électriques connectées, et qu’il l’avait utilisé pour mener une attaque DDoS contre le site web d’une entreprise suisse, lui causant des millions d’euros de pertes. Cette histoire, qui semblait assez folle pour être vraie, était en fait fausse, basée sur une mauvaise interprétation d’un exemple hypothétique donné par des chercheurs en sécurité informatique.Ces derniers jours, vous avez peut-être entendu parler du terrifiant botnet composé de 3 millions de brosses à dents électriques infectées par des logiciels malveillants. Pendant que vous vous occupiez distraitement de votre hygiène bucco-dentaire, vous étiez loin de vous douter que votre brosse à dents et des millions d'autres étaient contrôlées à distance par d'infâmes criminels.
Hélas, la fiction est parfois plus étrange que la vérité. Il n'y a pas vraiment eu 3 millions de brosses à dents connectées à l'internet qui ont accédé au site web d'une entreprise suisse dans le cadre d'une attaque DDoS qui a causé des millions de dollars de dégâts. Le botnet de brosses à dents n'était qu'un exemple hypothétique que certains journalistes ont interprété à tort comme s'étant réellement produit.
L’histoire a été publiée pour la première fois par le quotidien suisse alémanique Aargauer Zeitung le 30 janvier, qui citait des chercheurs de Fortinet, une entreprise de sécurité basée en Californie. Cette histoire, qui sonnait comme un scénario de science-fiction, a ensuite été reprise par de nombreux médias anglophones. L'un d'eux disait par exemple :
Selon un récent rapport publié par l'Aargauer Zeitung, environ trois millions de brosses à dents intelligentes ont été infectées par des pirates informatiques et intégrées à des réseaux de zombies. Le rapport de la source indique que cette armée considérable d'outils de nettoyage dentaire connectés a été utilisée dans une attaque DDoS contre le site web d'une entreprise suisse. Le site de l'entreprise s'est effondré sous la pression de l'attaque, ce qui aurait entraîné la perte de millions d'euros de chiffre d'affaires.
Dans ce cas particulier, le botnet de brosses à dents aurait été vulnérable en raison de son système d'exploitation basé sur Java. Aucune marque particulière de brosse à dents n'a été mentionnée dans le rapport de la source. Normalement, les brosses à dents auraient utilisé leur connectivité pour suivre et améliorer les habitudes d'hygiène bucco-dentaire des utilisateurs, mais après une infection par un logiciel malveillant, ces brosses à dents ont été transformées en botnet.
Dans ce cas particulier, le botnet de brosses à dents aurait été vulnérable en raison de son système d'exploitation basé sur Java. Aucune marque particulière de brosse à dents n'a été mentionnée dans le rapport de la source. Normalement, les brosses à dents auraient utilisé leur connectivité pour suivre et améliorer les habitudes d'hygiène bucco-dentaire des utilisateurs, mais après une infection par un logiciel malveillant, ces brosses à dents ont été transformées en botnet.
Les lacunes de cette histoire
Le problème, cependant, est que tous les objets connectés ne se valent pas. L’histoire de la brosse à dents s’est effondrée après que des experts en sécurité sur Twitter ont commencé à remettre en question la crédibilité de ce scénario sur X/Twitter. Ils ont mis le doigt sur les lacunes de l'article, affirmant que la description du réseau de zombies semblait être hypothétique et n'avait pas vraiment de sens de toute façon. Le chercheur en sécurité Matthew Remacle a qualifié cette description d'absurde mardi, soulignant que les brosses à dents connectées se couplent simplement avec les téléphones via Bluetooth au lieu de se connecter directement à l'internet :
« Le "botnet de 3 millions de brosses à dents IoT" n'a aucun sens. Tout d'abord, il n'y a que quelques rares vendeurs de brosses à dents qui auraient ce numéro, et encore moins qui l'auraient ouvert par erreur à l'internet. De plus, ces brosses à dents sont équipées de Bluetooth. Elles n'ont pas d'internet[...]. La seule façon pour que cette histoire soit un tant soit peu vraie, parce que les téléphones ont Internet et les brosses à dents n'en ont pas. Mais dans ce cas, il ne s'agit pas d'un botnet de brosses à dents, mais d'un botnet de téléphones ordinaires ».
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Y'all, the "3 million IoT toothbrush botnet" is nonsense.<br>For starters, there's only a very select few toothbrush vendors who would even have that #, much less mistakenly opened to the internet.<br>Additionally, those toothbrushes are bluetooth. They don't have internet.</p>— remy🐀 (@_mattata) <a href="https://twitter.com/_mattata/status/1755051642032964024?ref_src=twsrc%5Etfw">February 7, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]
Robert Graham, expert en sécurité, a déclaré qu'il n'y avait « aucune preuve que 3 millions de brosses à dents aient provoqué un DDoS » et que l'hypothèse proposée par la société de sécurité avait été « mal interprétée par le journaliste » :
Foutaises. Il n'y a aucune preuve que 3 millions de brosses à dents aient provoqué un DDoS.
Qu'est-ce qui ne va pas chez vous ? ? ??? Il n'y a pas de détails, comme qui est la cible du DDoS ? quelle était la marque des brosses à dents ? comment sont-elles connectées à Internet (indice : elles ne le sont pas, elles sont Bluetooth) ?
Tout ce que nous avons, c'est un représentant d'une société de sécurité qui fait des déclarations vagues et non fondées, plutôt du type "c'est quelque chose qui pourrait arriver" au lieu de dire que cela s'est réellement produit, et qui sont à leur tour mal interprétées par un journaliste. L'ensemble de l'histoire n'est que de la merde.
Qu'est-ce qui ne va pas chez vous ? ? ??? Il n'y a pas de détails, comme qui est la cible du DDoS ? quelle était la marque des brosses à dents ? comment sont-elles connectées à Internet (indice : elles ne le sont pas, elles sont Bluetooth) ?
Tout ce que nous avons, c'est un représentant d'une société de sécurité qui fait des déclarations vagues et non fondées, plutôt du type "c'est quelque chose qui pourrait arriver" au lieu de dire que cela s'est réellement produit, et qui sont à leur tour mal interprétées par un journaliste. L'ensemble de l'histoire n'est que de la merde.
L'histoire est officiellement démentie
Un article de 404 Media a cité des experts sceptiques, qui ont mis en doute la validité du récit. Maintenant, l’histoire a été officiellement démentie.
Selon Fortinet, les journalistes suisses qui ont diffusé l’histoire ont mal interprété les chercheurs lors d’une interview, ce qui a ensuite amené les médias américains à reprendre sans critique le faux récit et à le faire circuler davantage. Dans une déclaration, Fortinet a clarifié que l’incident de la brosse à dents n’avait pas réellement eu lieu, et qu’il s’agissait plutôt d’une expérience de pensée que de toute autre chose :
« Pour clarifier, le sujet des brosses à dents utilisées pour des attaques DDoS a été présenté lors d’une interview comme une illustration d’un type d’attaque donné, et il n’est pas basé sur des recherches de Fortinet ou de FortiGuard Labs. Il semble qu’en raison des traductions, le récit sur ce sujet a été étiré au point où les scénarios hypothétiques et réels sont flous ».
The Independent, un site d'information en ligne britannique, a fait marche arrière de la même manière. Son article original était intitulé "Des millions de brosses à dents piratées ont été utilisées dans une cyberattaque suisse, selon un rapport". La nouvelle version de The Independent est intitulée "Des millions de brosses à dents piratées pourraient être utilisées dans une cyberattaque, avertissent des chercheurs".
Graham a félicité Fortinet pour avoir « fait ce qu'il fallait » en déclarant clairement aux médias que l'histoire du botnet était fausse. Bien qu'il ait reproché aux journalistes d'avoir mal interprété l'information, Graham a également critiqué Fortinet pour avoir fait des « affirmations vagues et non fondées » sur « quelque chose qui pourrait se produire ».
Mais le journal qui a publié cette histoire en premier conteste la version de la "mauvaise traduction"
Couvrir la cybersécurité en tant que journaliste peut être délicat. De nombreuses histoires sont présentées comme des recherches par des entreprises de sécurité, et ces entreprises ont intérêt à exagérer un peu leurs résultats pour attirer l’attention sur leur activité. En effet, le journal suisse au centre du drame de la brosse à dents a accusé Fortinet d’avoir faussement affirmé que l’histoire était réelle. Le journal affirme, dans une déclaration publiée sur son site web, que l’excuse d’une « erreur de traduction » est, elle-même, inventée :
Notre article sur les brosses à dents électriques, qui aurait été impliqué dans une cyberattaque, est devenu viral. Il a suscité le scepticisme dans les milieux d'experts. Le contexte.
"Les brosses à dents attaquent". C'est sous ce titre que CH Media a rapporté la semaine dernière une cyberattaque impliquant 3 millions de brosses à dents manipulées. L'étude de cas émanait de la société de cybersécurité Fortinet, un leader mondial dont la valeur boursière avoisine les 50 milliards de dollars.
Ce cas inhabituel a eu un écho considérable. Elle a rapidement circulé dans les médias internationaux, de l'"Independent" britannique au "Times of India" indien. Grâce à son énorme portée, elle a également attiré l'attention de spécialistes du monde entier. Nombre d'entre eux se sont montrés très sceptiques face à ce récit. Certains ont lancé l'alerte aux fake news. Il s'agit d'une "pure fiction" ; c'est un exemple "inventé" ; il n'y a "aucune preuve que l'attaque ait jamais eu lieu". L'histoire est même utilisée comme propagande dans les discussions russes sur Telegram, comme l'a écrit l'expert en cybersécurité Kevin Beaumont sur X. Les utilisateurs de Telegram ont été informés de l'existence d'une telle attaque.
Jeudi matin, plusieurs médias, dont l'"Independent", ont diffusé une déclaration de Fortinet : le cas aurait été utilisé comme exemple d'attaque DDoS lors d'une interview. Le cas ne serait toutefois pas basé sur des recherches de Fortinet. "Il semble qu'en raison de traductions, le récit sur ce sujet ait été étiré au point de brouiller les scénarios hypothétiques et réels", écrit la société de cybersécurité.
L'exemple a été présenté comme réel
Ce que le siège de Fortinet en Californie qualifie maintenant de "problème de traduction" a eu un tout autre écho lors des recherches : lors d'un entretien portant sur les menaces actuelles, des représentants suisses de Fortinet ont présenté le cas de la brosse à dents comme une attaque DDoS réelle.
Fortinet a fourni des détails concrets à ce sujet : des indications sur la durée pendant laquelle l'attaque a paralysé le site web d'une entreprise suisse ; un ordre de grandeur sur l'ampleur des dommages causés. Fortinet n'a pas voulu révéler de quelle entreprise il s'agissait par respect pour son client.
Le texte a été soumis à Fortinet pour vérification avant sa publication. La phrase selon laquelle il s'agit d'un cas réel, qui s'est réellement produit, n'a pas été contestée.
La direction mondiale de Fortinet a maintenant fait marche arrière avec sa déclaration, qui a été envoyée à différents médias internationaux. L'entreprise n'a pas envoyé cette déclaration à CH Media. Nous n'avons pas non plus reçu d'autre déclaration de Fortinet.
"Les brosses à dents attaquent". C'est sous ce titre que CH Media a rapporté la semaine dernière une cyberattaque impliquant 3 millions de brosses à dents manipulées. L'étude de cas émanait de la société de cybersécurité Fortinet, un leader mondial dont la valeur boursière avoisine les 50 milliards de dollars.
Ce cas inhabituel a eu un écho considérable. Elle a rapidement circulé dans les médias internationaux, de l'"Independent" britannique au "Times of India" indien. Grâce à son énorme portée, elle a également attiré l'attention de spécialistes du monde entier. Nombre d'entre eux se sont montrés très sceptiques face à ce récit. Certains ont lancé l'alerte aux fake news. Il s'agit d'une "pure fiction" ; c'est un exemple "inventé" ; il n'y a "aucune preuve que l'attaque ait jamais eu lieu". L'histoire est même utilisée comme propagande dans les discussions russes sur Telegram, comme l'a écrit l'expert en cybersécurité Kevin Beaumont sur X. Les utilisateurs de Telegram ont été informés de l'existence d'une telle attaque.
Jeudi matin, plusieurs médias, dont l'"Independent", ont diffusé une déclaration de Fortinet : le cas aurait été utilisé comme exemple d'attaque DDoS lors d'une interview. Le cas ne serait toutefois pas basé sur des recherches de Fortinet. "Il semble qu'en raison de traductions, le récit sur ce sujet ait été étiré au point de brouiller les scénarios hypothétiques et réels", écrit la société de cybersécurité.
L'exemple a été présenté comme réel
Ce que le siège de Fortinet en Californie qualifie maintenant de "problème de traduction" a eu un tout autre écho lors des recherches : lors d'un entretien portant sur les menaces actuelles, des représentants suisses de Fortinet ont présenté le cas de la brosse à dents comme une attaque DDoS réelle.
Fortinet a fourni des détails concrets à ce sujet : des indications sur la durée pendant laquelle l'attaque a paralysé le site web d'une entreprise suisse ; un ordre de grandeur sur l'ampleur des dommages causés. Fortinet n'a pas voulu révéler de quelle entreprise il s'agissait par respect pour son client.
Le texte a été soumis à Fortinet pour vérification avant sa publication. La phrase selon laquelle il s'agit d'un cas réel, qui s'est réellement produit, n'a pas été contestée.
La direction mondiale de Fortinet a maintenant fait marche arrière avec sa déclaration, qui a été envoyée à différents médias internationaux. L'entreprise n'a pas envoyé cette déclaration à CH Media. Nous n'avons pas non plus reçu d'autre déclaration de Fortinet.
Sources : Aargauer Zeitung (1, 2)
Et vous ?
Que pensez-vous de l’histoire de la brosse à dents ? Est-ce que vous l’avez crue quand vous l’avez lue ? Croyez-vous en la théorie de la mauvaise traduction avancée par Fortinet dans d'autres médias ou croyez-vous plutôt en l'histoire du quotidien suisse qui explique que le cas lui a été présenté comme étant réels et qu'en plus Fortinet avait reçu le texte avant publication pour vérification ? Quels sont les risques et les opportunités des objets connectés pour la sécurité et la vie privée ? Comment vérifiez-vous la fiabilité des informations que vous trouvez sur Internet ? Quels sont les critères ou les sources que vous utilisez ? Avez-vous déjà été victime ou témoin d’une attaque DDoS ? Si oui, comment avez-vous réagi ? Si non, comment vous y prépareriez-vous ? Quelles sont les mesures que les entreprises, les gouvernements et les individus devraient prendre pour prévenir et combattre les cyberattaques ? 
Je ne savais même pas que cela existait.
Envoyé par Auteur
), je vous invite à choisir le/les expressions qui vous conviennent avec le mot dent ci-dessous à ce propos:
)