Rechercher

Watch Dogs, des hacks réalistes ?

Un jeu inspiré du hacking. Quatre hacks. Encore plus de conseils pour s’en prémunir.

Watch Dogs, une immersion dans le monde du hacking

Watch Dogs, jeu vidéo créé par Ubisoft, met en scène, dans son premier comme son deuxième opus, un hacker. Dans le premier opus, chaque joueur est invité à pirater tout ce qu’il peut pour parvenir à ses fins. Une recette qui sera réutilisée dans le second volet, sur lequel plane un fond d’« hacktivisme » plus prononcé.

L’idée de cet article n’est pas d’émettre une critique envers l’éditeur sur le réalisme des attaques perpétrées : il s’agit d’un jeu. Le but est donc avant tout de divertir le public visé. Aussi, aucun joueur, et c’est bien normal, n’est tenu de connaître les techniques de hacking pour gagner. Il suffit simplement d’appuyer sur une commande pour perpétrer une cyberattaque.

Ce qui demeure cependant intéressant, c’est que certains hacks mis en scène dans le jeu existent réellement quand d’autres sont totalement fictionnels. Aussi, nous en avons listé quatre qui ont retenu notre attention.

#1 : Hacker une caméra de surveillance

C’est possible. C’est en réalité assez « simple » et nous en parlions déjà dans cet article, sur le hack des caméras de babyphones. Les caméras étant des objets connectés, qui pour l’heure, restent extrêmement peu sécurisés par défaut.

Le détail intéressant mis en avant dans Watch Dogs reste le fait que le personnage principal puisse hacker une deuxième caméra après avoir piraté la première. Dans la réalité, les caméras sont souvent connectées à un serveur et contrôlées par une application. Trouver le mot de passe permet de prendre le contrôle de ce logiciel et d’avoir accès à plusieurs caméras en même temps (et ce peu importe où elles se trouvent). Le jeu montre ainsi que pirater un appareil donne de la visibilité sur un autre, « piratable » lui aussi… et ainsi de suite.

Dans le contexte actuel, où nous connectons de plus en plus d’objets entre eux, les dangers présentés dans le jeu sont réels. Ainsi, comme nous venons de le voir, pour les cybercriminels, il est en effet d’usage d’entrer par une « petite porte » (un thermomètre, une montre, une caméra connectée…) pour avoir accès au réseau principal d’une entreprise ou d’un particulier par exemple.

Pour se prémunir de ce type d’attaque :

  • Personnaliser les paramètres par défaut : changer les mots de passe, les codes PIN, désactiver les connectivités inutilisées (Wi-Fi, Bluetooth) ou l’envoi des données techniques au fabricant.
  • Il est préférable de créer un login et un mot de passe qui ne seront utilisés que pour l’objet en question. L’idéal est de les rendre difficiles à deviner et de les changer régulièrement. Pour cela, il existe des gestionnaires de mots de passe (en ligne ou non) comme Dashlane, Lastpass ou Bitwarden par exemple. Ils permettent de générer des mots de passe forts sur les sites sur lesquels vous vous inscrivez.
  • Isoler l’objet du réseau. S’il est compromis, l’attaquant ne sera pas en mesure de « rebondir », c’est-à-dire d’accéder à un autre objet.
  • Mettre à jour les objets connectés le plus souvent possible : dans certains cas, ce sont des vulnérabilités logicielles anciennes que les cybercriminels utilisent.

#2 : Interrompre une communication entre deux téléphones

Autrement dit, les appareils du cybercriminel en sont également victimes. C’est en cela que le hack montré n’est pas si réaliste. Dans ce contexte, pas vraiment de conseils pour s’en prémunir mais profitons-en pour rappeler des règles simples en matière de cybersécurité des téléphones portables :

  • Choisir un PIN et un mot de passe robuste.
  • N’installer une application que lorsque c’est nécessaire, à partir d’une source de confiance.
  • Vérifier les permissions des applications et n’accorder que celles qui sont importantes.
  • Ne pas se connecter aux WiFi publics ou utiliser un VPN.
  • Effectuer toutes les mises à jour requises.
  • Utiliser un antivirus et le lancer pour voir si des malwares ont été installés et pouvoir s’en débarrasser.

#3 : Déverrouiller une voiture avec un smartphone

 Il s’agit d’une attaque réaliste, bien que la technique utilisée pour ce faire – le personnage principal utilise son téléphone portable pour pirater toutes les voitures du jeu – n’est pas vraiment celle utilisée par les hackers.

A titre d’illustration, en 2015, Charlie Miller et Chris Valasek, deux experts en cybersécurité, ont montré qu’ils étaient capables de prendre le contrôle d’une Jeep à distance. Andy Greenberg, journaliste pour le magazine américain Wired, a alors accepté de mener l’expérience en tant que conducteur pendant que les deux hackers prenaient peu à peu le contrôle du véhicule. Commençant par la radio, ils se sont ensuite concentrés sur les freins, comme le montrent cet article et cette vidéo.

Ici, difficile de donner des conseils pour se prémunir de ce genre d’attaques car elles sont rendues possibles grâce à l’exploitation de failles de sécurité. La voiture connectée restant un appareil connecté comme un autre, les bonnes pratiques données en #1 s’appliquent tout de même, surtout dans le cas où le conducteur relirait son smartphone à sa voiture par exemple.

#4 : Hacker un satellite

C’est tout à fait possible et, étonnement, simplement à l’aide d’un téléphone portable.

On plaisante ! C’est sans surprise et de loin le hack le plus irréaliste du jeu vidéo. Une chose intéressante cependant, si la plupart des hacks se font très simplement, à l’aide d’une commande, celui-ci requiert bien plus de travail. Le joueur est invité à infiltrer le site de lancement, remplacer une carte électronique par une autre, celle-ci préalablement compromise… Les techniques proposées, bien qu’irréalistes dans un contexte de lancement spatial, restent celles utilisées par les cybercriminels.

Les hacks, même les plus simples, prennent du temps, et demandent une technicité et une organisation hors-pair. Aussi, notre dernier conseil pourrait être celui-ci : ne jamais sous-estimer un cybercriminel, même novice. Si celui-ci a pris pour cible un particulier ou une entreprise, il saura mettre en place toutes les étapes nécessaires pour parvenir à ses fins.