Ils sont partout. Ils vous observent et enregistrent tout. De gigantesques entrepôts de données, situés on ne sait où dans le monde contiennent des informations sensibles vous concernant. Vous pensez que je fais une crise de paranoïa? Vous pensez que c’est de la science-fiction comme dans 1984, le chef-d’oeuvre d’Orwell? Rassurez-vous, ou plutôt inquiétez-vous, ce n’est pas le cas. Et 1984 c’était il y a 35 ans, c’est à dire à l’époque de la préhistoire. C’était le siècle dernier. Aujourd’hui on est bien plus loin que tout ce que prédisait Orwell. Simplement, nous vivons dans le monde de l’internet des objets. Peut-être certains d’entre eux sont-ils même implantés dans votre corps. Ces objets connectés présentent beaucoup d’avantages. Mais ils constituent un risque critique en termes de sécurité de l’information. Je vous propose de découvrir ensemble les 7 menaces majeures dans un monde d’objets connectés.
Tout est plus grand dans le monde des objets connectés qu’on appelle aussi l’Internet des objets. Bon, mis à part les appareils eux-mêmes. En effet, ceux-ci sont généralement assez petits pour ne contenir que quelques puces. Et ils sont souvent cachés à l’abri des regards. Cependant, l’ampleur des données et des périphériques dans l’IoT est un casse-tête pour tout professionnel de la cybersécurité.
Selon l’Union Internationale des Télécommunications, l’Internet des objets (IoT) est une « infrastructure mondiale pour la société de l’information, qui permet de disposer de services évolués en interconnectant des objets (physiques ou virtuels) grâce aux technologies de l’information et de la communication interopérables existantes ou en évolution ».
Qu’appelle-t-on l’IoT ou internet des objets?
En réalité, la définition de l’Internet des objets (on parle aussi d’IoT ou d’IdO) n’est pas figée. Elle recoupe des dimensions d’ordres conceptuel et technique.
D’un point de vue conceptuel, l’Internet des objets caractérise des objets physiques connectés ayant leur propre identité numérique et capables de communiquer les uns avec les autres. Ce réseau crée une passerelle entre le monde physique et le monde virtuel.
D’un point de vue technique, l’IdO consiste en l’identification numérique directe et normalisée (adresse IP, protocoles smtp, http…) d’un objet physique grâce à un système de communication sans fil qui peut être basé sur une puce RFID, le Bluetooth ou le Wi-Fi.
Les objets connectés produisent de grandes quantités de données dont le stockage et le traitement entrent dans le cadre de ce que l’on appelle le Big data. Le big data désigne l’ensemble des données numériques produites par l’utilisation des nouvelles technologies à des fins personnelles ou professionnelles. Cela recoupe notamment des données d’entreprise telles que courriels, documents, bases de données, historiques de processeurs métiers…
En logistique, il peut s’agir de capteurs servant tracer des marchandises pour la gestion des stocks et les acheminements. Dans le domaine de l’environnement, il s’agira de capteurs surveillant la qualité de l’air, la température, le niveau sonore, l’état d’un bâtiment, etc. En domotique, l’IdO recouvre tous les appareils électroménagers communicants, les capteurs (thermostat, détecteurs de fumée, de présence…), les compteurs intelligents et systèmes de sécurité connectés des appareils de type box domotique.
Le phénomène IdO est également très présent dans le domaine de la santé et du bien-être avec le développement des montres connectées, des bracelets connectés et d’autres capteurs surveillant des constantes vitales. Selon diverses projections (cf. Cisco et le cabinet Gartner), le nombre d’objets connectés devrait largement augmenter dans les prochaines années.
7 menaces majeures liées aux objets connectés
Selon des estimations largement citées, la production actuelle de données issues des objets connectés atteindrait 2,5 quintillions d’octets par jour. Cela représente environ 2,5 milliards de milliards de milliards d’octets chaque jour. Et ce nombre va continuer d’augmenter car l’Internet des Objets concernera jusqu’à 30 milliards d’appareils au cours des deux prochaines années. Compte tenu du nombre important d’appareils et de la nouveauté de l’IoT pour tous, cela représente un risque important pour la plupart des entreprises, en particulier les plus petites.
À mesure que la taille grandit, les risques se multiplient également. Voici sept des plus importantes menaces de cybersécurité auxquelles l’IoT doit faire face aujourd’hui. Les leaders et les consultants en cybersécurité doivent absolument rester à l’avant-garde de ces défis.
1. Un potentiel exploitable et souvent caché
De nombreux objets connectés sont conçus pour des tâches limitées. Il peut s’agir par exemple de la détection de la température ou de l’enregistrement de mouvements. Mais ils fonctionnent sur des micro-contrôleurs et des systèmes d’exploitation capables de faire beaucoup plus en arrière-plan sans entraver leur objectif premier. C’est une opportunité importante pour un cyber-attaquant. Et cela représente un risque important pour les propriétaires et les entreprises pour lesquelles ils travaillent.
Il est donc nécessaire d’associer les responsables de la sécurité de l’information au processus d’achat IoT d’une entreprise. Ils doivent être impliqués au même titre que pour toute autre acquisition technologique. Qu’il s’agisse de serveurs et de racks de stockage ou de drones, de caméras et de luminaires intelligents, ils ne doivent pas être consultés après que tout ait été déterminé et acheté. C’est alors beaucoup trop tard pour agir. L’évaluation des risques de sécurité de l’information doit intervenir de façon systématique en amont de tout projet.
2. Des terminaux qui savent se faire oublier
De nombreux objets connectés sont conçus pour se faire oublier. Ils doivent fonctionner pendant des années, souvent avec pour seule alimentation une pile bouton. Ils peuvent être encastrés dans des murs ou des plafonds. On les monte aussi souvent sur des équipements d’usine inaccessibles aux personnels d’entretien lors des tournées de maintenance.
C’est très pratique pour ce à quoi ils sont destinés. On attend d’eux qu’ils soient fiables et qu’ils ne nécessitent que peu d’entretien. Mais ils constituent un réel problème pour la stratégie de gestion des actifs informatiques et de la cybersécurité. L’un des principaux facteurs de risque est justement que les gens les oublient.
Pour remédier à cela, créez et appliquez le même type de cycles de remplacement et de rafraîchissement stricts déjà utilisés pour les équipements informatiques tels que les serveurs de centres de données et les ordinateurs portables. Étant donné que de nombreux périphériques IoT peuvent être physiquement masqués pendant des années, cela peut nécessiter une documentation plus détaillée qu’un plan de remplacement tel que celui pour des smartphones classiques. Votre équipe informatique doit pouvoir identifier et localiser ces périphériques avant que ceux-ci ne puissent être actualisés ou remplacés.
3. Ne pas reconnaître les objectifs d’une attaque sur les objets connectés
Une approche bien pensée de la sécurité des objets IoT aurait tout intérêt s’inspirer des expositions et exploitations passées de l’IoT. Des caméras intelligentes et des lecteurs de cartes de paiement ont ainsi été attaquées et utilisées pour transmettre des données à des utilisateurs non autorisés. Plus récemment, les systèmes embarqués ont été ciblés par des programmes de ransomwares. Ils ponctionnaient des paiements en échange du maintien en fonctionnement de systèmes essentiels. Parmi ces systèmes figuraient des équipements médicaux. Mais les cyber-criminels s’en prennent désormais à des catégories en plein expansion d’objets connectés. Et ils pourraient bien être plus intéressés dans le futur par l’écriture de données que par leur lecture.
Par exemple, une usine équipée de dispositifs de gestion IoT peut avoir des centaines de capteurs qui lisent les niveaux d’alimentation actuels sur un tapis roulant ou mesurent la pression de fluide dans un tuyau. La simple lecture de cette information aurait relativement peu de valeur pour un attaquant. Mais un saboteur qui pourrait implanter de faux enregistrements risquerait de perturber la production en introduisant des données inondant la chaîne de montage de trop nombreux composants ou en laissant trop de fluide ou de gaz traverser des composants non adaptés à la charge. Selon un livre blanc du NIST (Institut national des normes et de la technologie, aux USA), un attaquant pouvant consulter les données stockées ou transmises d’un dispositif IoT ne pourrait en retirer aucun avantage ni aucune valeur. Mais un cyber-criminel pouvant en modifier les données pourrait déclencher une série d’événements déclenchant un incident.
Savoir ce qu’un attaquant pourrait gagner d’un accès non autorisé à un périphérique est une première étape clé dans la conception des protections.
4. Le déséquilibre entre sécurité et exigences des utilisateurs
Les objets connectés sont généralement censés fonctionner de façon stable. On attend d’eux qu’ils soient fiables et disponibles 24h / 24. On ne s’attend pas à ce qu’ils soient régulièrement entretenus et mis à jour. «Les exigences opérationnelles en matière de performances, de fiabilité, de résilience et de sécurité peuvent être en contradiction avec les pratiques courantes en matière de cybersécurité et de confidentialité des périphériques informatiques classiques», note le NIST.
C’est une façon élégante de dire que les utilisateurs n’accepteront ni ne comprendront pas qu’un appareil IoT s’éteigne pendant 15 minutes pour déployer un correctif de sécurité. Et cela même alors qu’ils l’accepteraient pour un smartphone ou un ordinateur portable. Pour répondre à cela il faudrait déployer des dispositifs de sauvegarde redondants, mettre en oeuvre des fenêtres de maintenance planifiées ou une campagne d’éducation concertée qui aligne les attentes des utilisateurs sur les impératifs de lasécurité.
5. Un manque de responsabilisation des fabricants
Les dispositifs IoT sont conçus être faciles d’utilisation. Mais cette facilité crée des vulnérabilités et engendre donc des risques. Une bonne hygiène en matière de cybersécurité est indispensable dans l’IoT. Et cela commence, dès la mise en oeuvre. Commencez par vous assurer que les informations d’identification par défaut de l’administrateur ou du super-utilisateur sont rapidement modifiées ou désactivées. Le blocage et la désactivation des fonctionnalités UPnP (Universal Plug-and-Play) et l’arrêt du trafic sur les ports réseau non essentiels fréquemment utilisés pour les attaques IoT constituent également des précautions élémentaires.
Et si vous ne pouvez pas faire ces choses? Alors, ne déployez pas. Ces appareils ne sont pas toujours intrinsèquement sécurisés. Certains ne vous autorisent même pas à changer le nom d’utilisateur et le mot de passe. La plupart des plus importantes vulnérabilités proviennent des fabricants eux-mêmes.
6. La menace des initiés
Le risque d’initié est souvent une menace plus grande que celui provenant de l’extérieur. Ce risque d’initié (insiders) peut provenir d’employés qui détournent délibérément des appareils à leurs propres fins. Une autre forme de menace est la manipulation par un attaquant au moyen de méthodes de phishing ou d’autres méthodes d’ingénierie sociale. L’Internet des Objets crée une nouvelle exposition à un ancien problème. Vous devez pouvoir compter sur vos employés pour vous défendre. Or l’ingénierie sociale est le premier moyen d’accéder à une organisation.Vous devez vraiment attirer l’attention sur qui a accès à chaque objet connecté et sur ce qu’il peut en faire.
L’éducation à l’hameçonnage en général, qui vise généralement à éviter les escroqueries par courrier électronique et sur les réseaux sociaux, peut être insuffisante. Un attaquant peut tenter de bluffer un employé pour lui faire redémarrer ou ou mettre à jour un appareil. Et cet employé peut tout à fait considérer qu’il s’agit d’une demande raisonnable si l’individu travaille à proximité et s’il dégage un sentiment de propriété. Les employés doivent donc recevoir des instructions claires pour savoir exactement qui a l’autorisation d’interagir avec les appareils IoT et dans quelles circonstances il peut effectuer des réglages ou des mises à jour sur l’appareil sans surveillance informatique.
7. Les objets abandonnés ou non utilisés
Le problème des périphériques IoT non mis à jour, abandonnés ou tout simplement oubliés est devenu si grave que les activistes du piratage informatiques ont en fait infecté les périphériques non protégés avec des logiciels malveillants simplement pour empêcher d’autres logiciels d’en prendre le contrôle. Ces attaques utilisent des vulnérabilités non corrigées pour se faufiler, puis corrigent la vulnérabilité ou ferment les ports réseau pour empêcher tout autre logiciel de pénétrer. Assurez-vous donc que votre stratégie IoT reconnaît spécifiquement ce risque. Elle doit comprendre les activités de ces hacktivistes de type chapeau gris et prendre des mesures avant que les cyber-criminels ne puissent le faire.
Quelques conseils de base pour vous protéger
L’internet des objets envahit notre environnement et ils de développe de façon exponentielle. Il est donc essentiel de prendre des précautions de base avant d’envisager de vous en équiper. 2AB & Associates vous conseille de prendre les précautions suivantes afin de vous prémunir contre l’achat d’objets intelligents vulnérables :
- Avant d’acheter un objet IoT, recherchez sur Internet la mention d’éventuelles vulnérabilités. L’Internet des objets est aujourd’hui un sujet brûlant. Aussi, de nombreux chercheurs font un excellent travail pour découvrir des failles de sécurité dans les produits de ce type. Cela va des écoute-bébés jusqu’aux armes gérées par une application. Il est probable que l’objet que vous envisagez d’acheter ait déjà été examiné par des experts en sécurité. Il est également souvent possible de vérifier si les vulnérabilités découvertes ont été corrigées ou pas.
- Ce n’est pas toujours une bonne idée d’acheter les produits les plus récents dès leur lancement sur le marché. En dehors des bugs habituels affectant les nouveaux produits, ces derniers sont plus susceptibles de receler des failles de sécurité encore inconnues. Il est donc préférable de choisir des produits ayant déjà connu plusieurs mises à jour de leur logiciel.
- Avant de décider de rendre un aspect de sa vie un peu plus intelligent, tenez compte des risques pour la sécurité. Si vous conservez de nombreux objets de valeur à votre domicile, il est sans doute judicieux d’installer un système d’alarme professionnel en remplacement ou en complément de votre modèle existant commandé par une application. Au minimum, pensez à configurer ce dernier de sorte qu’aucune vulnérabilité éventuelle n’affecte son fonctionnement. Serait vraiment trop bête de laisser le contrôle de votre système de surveillances à vos éventuels cambrioleurs…
L’internet de Objets vous intéresse? Vous avez des commentaires ou des remarques? N’hésitez pas à nous laisser votre commentaire.