Le problème, quand on est ingénieur, c’est qu’on a du mal à expliquer quelque-chose sans rentrer dans les détails. Ce doit être une tournure d’esprit.
Il m’a été fait remarquer que mon dernier article, comptant les déboires d’un client dont l’accès distant avait été mis en échec par des attaques aléatoires depuis internet, pouvait être anxiogène.
Je ne cache pas que, de mon point de vue, cette expérience a effectivement rendu très réelle une menace qui me paraissait presque abstraite.
Je vais donc résumer et re-formuler l’histoire. En voici donc la seconde version.
Afin de permettre l’accès à distance à différents dispositifs installés chez des clients, l’usage le plus courant est d’ouvrir des « portes » au niveau de leur connexion internet. Chaque porte est numérotée, et correspond directement à un des appareils installés chez eux. Enregistreur des caméras, processeur domotique, serveur de fichiers, etc.
Pour des raisons techniques et de facilité, la numérotation des portes est souvent similaire, donc prévisible. Un serveur « web » est à la porte 80, une console de commande à la porte 23, et l’enregistreur vidéo est souvent à la porte 3777.
Ces portes sont protégées par des mots de passe, en général. Mais là encore, on entend trop souvent des techniciens dire « on laisse le mot de passe par défaut comme ça on ne risque pas de l’oublier ». En d’autres termes, le digicode qui protège chaque porte est généralement 1-2-3-4.
Donc, un curieux qui essaie de pousser toutes les portes de toutes les adresses d’une rue (par exemple tous les abonnés Orange sur la région de Lyon) va pouvoir entrer dans un certain nombre de maisons.
S’il n’est que curieux, il est très probable qu’il ne saura pas quoi chercher et il repartira sans causer de dommages, et même sans accéder à quoi que ce soit. Mais le simple fait d’avoir ouvert la porte peut bloquer l’appareil concerné. C’est ce qu’il s’est passé quand le processeur Lutron a cessé d’accepter des connexions entrantes car sa porte avait été poussée à plusieurs reprises, depuis la Russie et l’Italie. La lumière fonctionnait toujours, mais plus l’accès distant, et plus la commande depuis les dalles.
Maintenant, utilisant les mêmes outils, un malfrat peut facilement rechercher une adresse IP en particulier (celle de votre maison), pousser les mêmes portes, et savoir quoi chercher à l’intérieur. La porte de l’enregistreur de caméras permet avec la bonne application d’afficher l’image en direct et les évènements. Il peut donc étudier vos habitudes, ou choisir le moment de casser votre (vraie) porte.
La solution : refermer ces portes, ou ne garder qu’une porte de secours bien verrouillée, et configurer un accès distant crypté et protégé par un mot de passe. Un VPN.
Si vous insistez, la prochaine fois je chercherai une analogie pour vous expliquer le VPN sans jargonner…