IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'histoire virale d'un réseau de zombies comptant 3 millions de brosses à dents était trop belle pour être vraie. Fortinet parle d'une erreur de traduction
Version contestée par le média à l'origine de l'histoire

Le , par Stéphane le calme

0PARTAGES

19  0 
Une histoire qui a fait le tour du web ces derniers jours affirmait qu’un groupe de hackers avait créé un botnet composé de 3 millions de brosses à dents électriques connectées, et qu’il l’avait utilisé pour mener une attaque DDoS contre le site web d’une entreprise suisse, lui causant des millions d’euros de pertes. Cette histoire, qui semblait assez folle pour être vraie, était en fait fausse, basée sur une mauvaise interprétation d’un exemple hypothétique donné par des chercheurs en sécurité informatique.

Ces derniers jours, vous avez peut-être entendu parler du terrifiant botnet composé de 3 millions de brosses à dents électriques infectées par des logiciels malveillants. Pendant que vous vous occupiez distraitement de votre hygiène bucco-dentaire, vous étiez loin de vous douter que votre brosse à dents et des millions d'autres étaient contrôlées à distance par d'infâmes criminels.

Hélas, la fiction est parfois plus étrange que la vérité. Il n'y a pas vraiment eu 3 millions de brosses à dents connectées à l'internet qui ont accédé au site web d'une entreprise suisse dans le cadre d'une attaque DDoS qui a causé des millions de dollars de dégâts. Le botnet de brosses à dents n'était qu'un exemple hypothétique que certains journalistes ont interprété à tort comme s'étant réellement produit.

L’histoire a été publiée pour la première fois par le quotidien suisse alémanique Aargauer Zeitung le 30 janvier, qui citait des chercheurs de Fortinet, une entreprise de sécurité basée en Californie. Cette histoire, qui sonnait comme un scénario de science-fiction, a ensuite été reprise par de nombreux médias anglophones. L'un d'eux disait par exemple :

Selon un récent rapport publié par l'Aargauer Zeitung, environ trois millions de brosses à dents intelligentes ont été infectées par des pirates informatiques et intégrées à des réseaux de zombies. Le rapport de la source indique que cette armée considérable d'outils de nettoyage dentaire connectés a été utilisée dans une attaque DDoS contre le site web d'une entreprise suisse. Le site de l'entreprise s'est effondré sous la pression de l'attaque, ce qui aurait entraîné la perte de millions d'euros de chiffre d'affaires.

Dans ce cas particulier, le botnet de brosses à dents aurait été vulnérable en raison de son système d'exploitation basé sur Java. Aucune marque particulière de brosse à dents n'a été mentionnée dans le rapport de la source. Normalement, les brosses à dents auraient utilisé leur connectivité pour suivre et améliorer les habitudes d'hygiène bucco-dentaire des utilisateurs, mais après une infection par un logiciel malveillant, ces brosses à dents ont été transformées en botnet.
Il y avait une certaine logique à cela. Les cybercriminels peuvent être très créatifs quand il s’agit d’utiliser des objets connectés pour construire des réseaux malveillants ; les auteurs du célèbre botnet Mirai avaient notamment utilisé plus de 100 000 appareils intelligents pour créer l’un des botnets les plus redoutables de l’histoire. Alors pourquoi ne pas utiliser une brosse à dents ou deux ?


Les lacunes de cette histoire

Le problème, cependant, est que tous les objets connectés ne se valent pas. L’histoire de la brosse à dents s’est effondrée après que des experts en sécurité sur Twitter ont commencé à remettre en question la crédibilité de ce scénario sur X/Twitter. Ils ont mis le doigt sur les lacunes de l'article, affirmant que la description du réseau de zombies semblait être hypothétique et n'avait pas vraiment de sens de toute façon. Le chercheur en sécurité Matthew Remacle a qualifié cette description d'absurde mardi, soulignant que les brosses à dents connectées se couplent simplement avec les téléphones via Bluetooth au lieu de se connecter directement à l'internet :

« Le "botnet de 3 millions de brosses à dents IoT" n'a aucun sens. Tout d'abord, il n'y a que quelques rares vendeurs de brosses à dents qui auraient ce numéro, et encore moins qui l'auraient ouvert par erreur à l'internet. De plus, ces brosses à dents sont équipées de Bluetooth. Elles n'ont pas d'internet[...]. La seule façon pour que cette histoire soit un tant soit peu vraie, parce que les téléphones ont Internet et les brosses à dents n'en ont pas. Mais dans ce cas, il ne s'agit pas d'un botnet de brosses à dents, mais d'un botnet de téléphones ordinaires ».

Robert Graham, expert en sécurité, a déclaré qu'il n'y avait « aucune preuve que 3 millions de brosses à dents aient provoqué un DDoS » et que l'hypothèse proposée par la société de sécurité avait été « mal interprétée par le journaliste » :

Foutaises. Il n'y a aucune preuve que 3 millions de brosses à dents aient provoqué un DDoS.

Qu'est-ce qui ne va pas chez vous ? ? ??? Il n'y a pas de détails, comme qui est la cible du DDoS ? quelle était la marque des brosses à dents ? comment sont-elles connectées à Internet (indice : elles ne le sont pas, elles sont Bluetooth) ?

Tout ce que nous avons, c'est un représentant d'une société de sécurité qui fait des déclarations vagues et non fondées, plutôt du type "c'est quelque chose qui pourrait arriver" au lieu de dire que cela s'est réellement produit, et qui sont à leur tour mal interprétées par un journaliste. L'ensemble de l'histoire n'est que de la merde.
L'histoire est officiellement démentie

Un article de 404 Media a cité des experts sceptiques, qui ont mis en doute la validité du récit. Maintenant, l’histoire a été officiellement démentie.

Selon Fortinet, les journalistes suisses qui ont diffusé l’histoire ont mal interprété les chercheurs lors d’une interview, ce qui a ensuite amené les médias américains à reprendre sans critique le faux récit et à le faire circuler davantage. Dans une déclaration, Fortinet a clarifié que l’incident de la brosse à dents n’avait pas réellement eu lieu, et qu’il s’agissait plutôt d’une expérience de pensée que de toute autre chose :

« Pour clarifier, le sujet des brosses à dents utilisées pour des attaques DDoS a été présenté lors d’une interview comme une illustration d’un type d’attaque donné, et il n’est pas basé sur des recherches de Fortinet ou de FortiGuard Labs. Il semble qu’en raison des traductions, le récit sur ce sujet a été étiré au point où les scénarios hypothétiques et réels sont flous ».

The Independent, un site d'information en ligne britannique, a fait marche arrière de la même manière. Son article original était intitulé "Des millions de brosses à dents piratées ont été utilisées dans une cyberattaque suisse, selon un rapport". La nouvelle version de The Independent est intitulée "Des millions de brosses à dents piratées pourraient être utilisées dans une cyberattaque, avertissent des chercheurs".

Graham a félicité Fortinet pour avoir « fait ce qu'il fallait » en déclarant clairement aux médias que l'histoire du botnet était fausse. Bien qu'il ait reproché aux journalistes d'avoir mal interprété l'information, Graham a également critiqué Fortinet pour avoir fait des « affirmations vagues et non fondées » sur « quelque chose qui pourrait se produire ».

Mais le journal qui a publié cette histoire en premier conteste la version de la "mauvaise traduction"

Couvrir la cybersécurité en tant que journaliste peut être délicat. De nombreuses histoires sont présentées comme des recherches par des entreprises de sécurité, et ces entreprises ont intérêt à exagérer un peu leurs résultats pour attirer l’attention sur leur activité. En effet, le journal suisse au centre du drame de la brosse à dents a accusé Fortinet d’avoir faussement affirmé que l’histoire était réelle. Le journal affirme, dans une déclaration publiée sur son site web, que l’excuse d’une « erreur de traduction » est, elle-même, inventée :

Notre article sur les brosses à dents électriques, qui aurait été impliqué dans une cyberattaque, est devenu viral. Il a suscité le scepticisme dans les milieux d'experts. Le contexte.

"Les brosses à dents attaquent". C'est sous ce titre que CH Media a rapporté la semaine dernière une cyberattaque impliquant 3 millions de brosses à dents manipulées. L'étude de cas émanait de la société de cybersécurité Fortinet, un leader mondial dont la valeur boursière avoisine les 50 milliards de dollars.

Ce cas inhabituel a eu un écho considérable. Elle a rapidement circulé dans les médias internationaux, de l'"Independent" britannique au "Times of India" indien. Grâce à son énorme portée, elle a également attiré l'attention de spécialistes du monde entier. Nombre d'entre eux se sont montrés très sceptiques face à ce récit. Certains ont lancé l'alerte aux fake news. Il s'agit d'une "pure fiction" ; c'est un exemple "inventé" ; il n'y a "aucune preuve que l'attaque ait jamais eu lieu". L'histoire est même utilisée comme propagande dans les discussions russes sur Telegram, comme l'a écrit l'expert en cybersécurité Kevin Beaumont sur X. Les utilisateurs de Telegram ont été informés de l'existence d'une telle attaque.

Jeudi matin, plusieurs médias, dont l'"Independent", ont diffusé une déclaration de Fortinet : le cas aurait été utilisé comme exemple d'attaque DDoS lors d'une interview. Le cas ne serait toutefois pas basé sur des recherches de Fortinet. "Il semble qu'en raison de traductions, le récit sur ce sujet ait été étiré au point de brouiller les scénarios hypothétiques et réels", écrit la société de cybersécurité.

L'exemple a été présenté comme réel

Ce que le siège de Fortinet en Californie qualifie maintenant de "problème de traduction" a eu un tout autre écho lors des recherches : lors d'un entretien portant sur les menaces actuelles, des représentants suisses de Fortinet ont présenté le cas de la brosse à dents comme une attaque DDoS réelle.

Fortinet a fourni des détails concrets à ce sujet : des indications sur la durée pendant laquelle l'attaque a paralysé le site web d'une entreprise suisse ; un ordre de grandeur sur l'ampleur des dommages causés. Fortinet n'a pas voulu révéler de quelle entreprise il s'agissait par respect pour son client.

Le texte a été soumis à Fortinet pour vérification avant sa publication. La phrase selon laquelle il s'agit d'un cas réel, qui s'est réellement produit, n'a pas été contestée.

La direction mondiale de Fortinet a maintenant fait marche arrière avec sa déclaration, qui a été envoyée à différents médias internationaux. L'entreprise n'a pas envoyé cette déclaration à CH Media. Nous n'avons pas non plus reçu d'autre déclaration de Fortinet.
Quoi qu’il en soit, il semble que l’histoire de la brosse à dents soit un cas d’école de la désinformation involontaire, où un malentendu initial se transforme en une rumeur incontrôlable. Il faut donc toujours être prudent et vérifier les sources avant de croire tout ce qu’on lit sur Internet. Surtout quand il s’agit de brosses à dents.

Sources : Aargauer Zeitung (1, 2)

Et vous ?

Que pensez-vous de l’histoire de la brosse à dents ? Est-ce que vous l’avez crue quand vous l’avez lue ?
Croyez-vous en la théorie de la mauvaise traduction avancée par Fortinet dans d'autres médias ou croyez-vous plutôt en l'histoire du quotidien suisse qui explique que le cas lui a été présenté comme étant réels et qu'en plus Fortinet avait reçu le texte avant publication pour vérification ?
Quels sont les risques et les opportunités des objets connectés pour la sécurité et la vie privée ?
Comment vérifiez-vous la fiabilité des informations que vous trouvez sur Internet ? Quels sont les critères ou les sources que vous utilisez ?
Avez-vous déjà été victime ou témoin d’une attaque DDoS ? Si oui, comment avez-vous réagi ? Si non, comment vous y prépareriez-vous ?
Quelles sont les mesures que les entreprises, les gouvernements et les individus devraient prendre pour prévenir et combattre les cyberattaques ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Auteur
Expert éminent sénior https://www.developpez.com
Le 09/02/2024 à 13:35
Moi, ce que je ne comprends pas, c'est l'intérêt d'une brosse à dents connectée, équipée de Bluetooth ???? Je ne savais même pas que cela existait.
6  0 
Avatar de Chrigou
Nouveau membre du Club https://www.developpez.com
Le 09/02/2024 à 15:26
Ce qu'il faut retenir de cette histoire, c'est que des fausses informations de ce genre vont se multiplier avec l'avènement de l'IA et qu'il sera toujours plus difficile de démêler le vrai du faux.
On arrive encore tout juste à démentir ces propos mais cela deviendra de plus en plus difficile à l'avenir...
Nous sommes bien en train d'entrer dans ce qui s'appelle dorénavant "la Grosse Merdification" d'internet
5  0 
Avatar de totozor
Membre expert https://www.developpez.com
Le 09/02/2024 à 13:39
En tant que néophyte qui ne comprends rien à la cybersécurité:
Comment des chercheurs diffusent une étude qui décrit un comportement que d'autres décrivent comme impossible.

Les chercheurs racontent une histoire (fictive) de DDOS par des brosses à dent alors que les brosses à dents n'accèdent pas à internet.
Ces gens sont payés? Combien (c'est pour un ami qui envisage une reconversion - qui aime écrire des histoires mais qui n'a aucun talent d'écrivain )
4  0 
Avatar de unanonyme
Membre éclairé https://www.developpez.com
Le 09/02/2024 à 13:48
Citation Envoyé par Auteur Voir le message
Moi, ce que je ne comprends pas, c'est l'intérêt d'une brosse à dents connectée, équipée de Bluetooth ???? Je ne savais même pas que cela existait.
Je ne savais pas moi non plus.

https://www.philips.fr/c-p/HX9992_11...e-all-benefits

La brosse Philips Sonicare Prestige 9900 avec technologie SenseIQ est le modèle le plus avancé parmi nos brosses à dents électriques. Associant l'intelligence à notre technologie sonique à l'efficacité prouvée, elle détecte vos besoins et s'y adapte afin d'offrir un soin intégral, pour un brossage optimal. Voir tous les avantages
La technologie SenseIQ détecte, s'adapte et prend soin

Lorsque vous vous brossez les dents, la technologie SenseIQ détecte la pression, les mouvements, la couverture et plus encore jusqu'à 100 fois par seconde. Elle adapte ensuite l'intensité si vous exercez une trop forte pression. L'intelligence de la technologie SenseIQ élimine les approximations des modes de brossage, pour un soin en toute simplicité et un brossage plus efficace.
Prend intuitivement soin des dents et des gencives

La brosse à dents Philips Sonicare DiamondClean Prestige 9900 est conçue pour vous. Sa technologie de pointe qui s’adapte automatiquement à votre brossage est si facile d'utilisation que vous en oubliez sa présence. Heureusement les résultats parlent d’eux-mêmes.
Tête de brosse tout-en-un, pour un soin complet

Brossez-vous les dents sans compromis avec la tête de brosse A3 Premium tout-en-un. La meilleure de nos brosses à dents est dotée de brins inclinés éliminant jusqu'à 20 fois plus de plaque dentaire, même dans les zones difficiles d'accès*. Les pointes triangulaires permettent d'éliminer jusqu'à 100 % de taches en plus en moins de deux jours***. Et les brins plus longs nettoient en profondeur, pour des gencives jusqu'à 15 fois plus saines en seulement deux semaines**. Tout cela sans changer de tête de brosse. Saviez-vous que les têtes de brosse deviennent moins efficaces après 3 mois d'utilisation ? Notre fonctionnalité BrushSync™ peut vous prévenir quand il est presque temps de remplacer.
Spécificités Techniques

Connectivité

Technologie sans fil Bluetooth®
Application de brossage connectée
2  0 
Avatar de Escapetiger
Expert éminent sénior https://www.developpez.com
Le 09/02/2024 à 18:54
Citation Envoyé par Stéphane le calme Voir le message
Que pensez-vous de l’histoire de la brosse à dents ? Est-ce que vous l’avez crue quand vous l’avez lue ?
(.../...)
Avez-vous déjà été victime ou témoin d’une attaque DDoS ? Si oui, comment avez-vous réagi ? Si non, comment vous y prépareriez-vous ?
(.../...)
Pas besoin d'attaque DDoS, de connexion, pour les dents ! Tout comme certain.e.s d'entre vous, toujours eu des problèmes de dent depuis ma naissance (~60 ans de nos jours) quelque soit l'hygiène associée.

Alors j'ai une vraie dent contre cet article (mais pas contre Stéphane le calme bien sûr, autant l'écrire ), je vous invite à choisir le/les expressions qui vous conviennent avec le mot dent ci-dessous à ce propos:

Liste d'expressions françaises avec le mot dent - Vikidia, l’encyclopédie des 8-13 ans

Oui oui, il y a bien écrit dès écrit 8-13 ans (et pour la vie )
1  1 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 11/02/2024 à 0:28
je pensais aussi que le nom "fortinet" etait une blague, un hommage a "fortnite", surement créé par un ados quoi..
0  0