L'histoire virale d'un réseau de zombies comptant 3 millions de brosses à dents était trop belle pour être vraie. Fortinet parle d'une erreur de traduction

Version contestée par le média à l'origine de l'histoire

L'histoire virale d'un réseau de zombies comptant 3 millions de brosses à dents était trop belle pour être vraie,
Fortinet assure qu'il s'agit d'une erreur de traduction tandis que le média suisse affirme que Fortinet a présenté le cas comme étant réel

Une histoire qui a fait le tour du web ces derniers jours affirmait qu’un groupe de hackers avait créé un botnet composé de 3 millions de brosses à dents électriques connectées, et qu’il l’avait utilisé pour mener une attaque DDoS contre le site web d’une entreprise suisse, lui causant des millions d’euros de pertes. Cette histoire, qui semblait assez folle pour être vraie, était en fait fausse, basée sur une mauvaise interprétation d’un exemple hypothétique donné par des chercheurs en sécurité informatique.

Ces derniers jours, vous avez peut-être entendu parler du terrifiant botnet composé de 3 millions de brosses à dents électriques infectées par des logiciels malveillants. Pendant que vous vous occupiez distraitement de votre hygiène bucco-dentaire, vous étiez loin de vous douter que votre brosse à dents et des millions d'autres étaient contrôlées à distance par d'infâmes criminels.

Hélas, la fiction est parfois plus étrange que la vérité. Il n'y a pas vraiment eu 3 millions de brosses à dents connectées à l'internet qui ont accédé au site web d'une entreprise suisse dans le cadre d'une attaque DDoS qui a causé des millions de dollars de dégâts. Le botnet de brosses à dents n'était qu'un exemple hypothétique que certains journalistes ont interprété à tort comme s'étant réellement produit.

L’histoire a été publiée pour la première fois par le quotidien suisse alémanique Aargauer Zeitung le 30 janvier, qui citait des chercheurs de Fortinet, une entreprise de sécurité basée en Californie. Cette histoire, qui sonnait comme un scénario de science-fiction, a ensuite été reprise par de nombreux médias anglophones. L'un d'eux disait par exemple :

Il y avait une certaine logique à cela. Les cybercriminels peuvent être très créatifs quand il s’agit d’utiliser des objets connectés pour construire des réseaux malveillants ; les auteurs du célèbre botnet Mirai avaient notamment utilisé plus de 100 000 appareils intelligents pour créer l’un des botnets les plus redoutables de l’histoire. Alors pourquoi ne pas utiliser une brosse à dents ou deux ?


Les lacunes de cette histoire

Le problème, cependant, est que tous les objets connectés ne se valent pas. L’histoire de la brosse à dents s’est effondrée après que des experts en sécurité sur Twitter ont commencé à remettre en question la crédibilité de ce scénario sur X/Twitter. Ils ont mis le doigt sur les lacunes de l'article, affirmant que la description du réseau de zombies semblait être hypothétique et n'avait pas vraiment de sens de toute façon. Le chercheur en sécurité Matthew Remacle a qualifié cette description d'absurde mardi, soulignant que les brosses à dents connectées se couplent simplement avec les téléphones via Bluetooth au lieu de se connecter directement à l'internet :

« Le "botnet de 3 millions de brosses à dents IoT" n'a aucun sens. Tout d'abord, il n'y a que quelques rares vendeurs de brosses à dents qui auraient ce numéro, et encore moins qui l'auraient ouvert par erreur à l'internet. De plus, ces brosses à dents sont équipées de Bluetooth. Elles n'ont pas d'internet[...]. La seule façon pour que cette histoire soit un tant soit peu vraie, parce que les téléphones ont Internet et les brosses à dents n'en ont pas. Mais dans ce cas, il ne s'agit pas d'un botnet de brosses à dents, mais d'un botnet de téléphones ordinaires ».

Y'all, the "3 million IoT toothbrush botnet" is nonsense.
For starters, there's only a very select few toothbrush vendors who would even have that #, much less mistakenly opened to the internet.
Additionally, those toothbrushes are bluetooth. They don't have internet.

— remy🐀 (@_mattata) February 7, 2024

Robert Graham, expert en sécurité, a déclaré qu'il n'y avait « aucune preuve que 3 millions de brosses à dents aient provoqué un DDoS » et que l'hypothèse proposée par la société de sécurité avait été « mal interprétée par le journaliste » :

Bullshit. There's no evidence 3 million toothbrushes performed a DDoS.

What the f*** is wrong with you people???? There are no details, like who is the target of the DDoS? what was the brand of toothbrushes? how are they connected to the Internet (hint: they aren't, they are… https://t.co/kc4DV9RO5v

— Robᵉʳᵗ Graham 𝕏 (@ErrataRob) February 7, 2024

L'histoire est officiellement démentie

Un article de 404 Media a cité des experts sceptiques, qui ont mis en doute la validité du récit. Maintenant, l’histoire a été officiellement démentie.

Selon Fortinet, les journalistes suisses qui ont diffusé l’histoire ont mal interprété les chercheurs lors d’une interview, ce qui a ensuite amené les médias américains à reprendre sans critique le faux récit et à le faire circuler davantage. Dans une déclaration, Fortinet a clarifié que l’incident de la brosse à dents n’avait pas réellement eu lieu, et qu’il s’agissait plutôt d’une expérience de pensée que de toute autre chose :

« Pour clarifier, le sujet des brosses à dents utilisées pour des attaques DDoS a été présenté lors d’une interview comme une illustration d’un type d’attaque donné, et il n’est pas basé sur des recherches de Fortinet ou de FortiGuard Labs. Il semble qu’en raison des traductions, le récit sur ce sujet a été étiré au point où les scénarios hypothétiques et réels sont flous ».

The Independent, un site d'information en ligne britannique, a fait marche arrière de la même manière. Son article original était intitulé "Des millions de brosses à dents piratées ont été utilisées dans une cyberattaque suisse, selon un rapport". La nouvelle version de The Independent est intitulée "Des millions de brosses à dents piratées pourraient être utilisées dans une cyberattaque, avertissent des chercheurs".

Graham a félicité Fortinet pour avoir « fait ce qu'il fallait » en déclarant clairement aux médias que l'histoire du botnet était fausse. Bien qu'il ait reproché aux journalistes d'avoir mal interprété l'information, Graham a également critiqué Fortinet pour avoir fait des « affirmations vagues et non fondées » sur « quelque chose qui pourrait se produire ».

Mais le journal qui a publié cette histoire en premier conteste la version de la "mauvaise traduction"

Couvrir la cybersécurité en tant que journaliste peut être délicat. De nombreuses histoires sont présentées comme des recherches par des entreprises de sécurité, et ces entreprises ont intérêt à exagérer un peu leurs résultats pour attirer l’attention sur leur activité. En effet, le journal suisse au centre du drame de la brosse à dents a accusé Fortinet d’avoir faussement affirmé que l’histoire était réelle. Le journal affirme, dans une déclaration publiée sur son site web, que l’excuse d’une « erreur de traduction » est, elle-même, inventée :

[QUOTE]Notre article sur les brosses à dents électriques, qui aurait été impliqué dans une cyberattaque, est devenu viral. Il a suscité le scepticisme dans les milieux d'experts. Le contexte.

"Les brosses à dents attaquent". C'est sous ce titre que CH Media a rapporté la...