De nouveaux cyber-risques apparaissent au fur et à mesure que des technologies émergentes arrivent sur le marché. Dans de nombreux cas les données privées sont menacées. La protection de la vie privée des individus, malgré le RGPD, est de plus en plus mise en défaut. Y a-t-il des solutions? Quelles sont les responsabilités?
Il est maintenant possible de connecter presque tous les objets. Bien sûr on pense à la montre connectée, mais il y a aussi de nombreux autres équipements concernés. Il peut s’agir d’accessoires automobiles ou d’accessoires de la maison (stores, réfrigérateur, télévision, thermostat intelligent, etc.). On ne doit pas non plus faire abstraction des drones et autres équipements médicaux tels que pacemakers ou autres. Aujourd’hui, 6,4 milliards d’appareils sont ou vont être connectés à Internet. Et si ça se passait mal? Si des pirates pouvaient avoir accès au données personnelles collectées par ces terminaux? Et même si les GAFAM (Google-Amazon-Facebook-Apple-Microsoft) récupéraient ces données et les revendaient? Et même si des cyber-criminels prenaient le contrôle de ces objets connectés? Alors, que pourrait-il advenir?
Une menace claire et omni-présente
Vous vous dites peut-être que c’est juste de la science-fiction. Et pourtant, il serait insensé de penser que les thermostats intelligents connectés à Internet ou d’autres appareils intelligents ne posent pas de problème de sécurité pour les organisations. Lors du développement d’objets connectés (IoT), l’absence de réflexion en matière de sécurité a entraîné un risque considérable pour les réseaux d’entreprises.
Selon Kaspersky Labs, 85 000 raisons très claires sont prises en compte lorsque l’on considère le coût moyen d’une attaque par déni de service distribué (DDoS) pour l’entreprise. En octobre 2016 déjà, de larges pans de l’internet sont devenus indisponibles en Europe et en Amérique du Nord. Amazon, PayPal, Netflix, Airbnb, Twitter et Visa ont figuré parmi les grands noms qui ont subi des perturbations. La cause? Une attaque DDoS contre le fournisseur Dyn. La vraie cause? Mirai.
Mirai est un logiciel malveillant qui transforme des ordinateurs utilisant le système d’exploitation Linux en bots contrôlés à distance. Ils forment alors un botnet (réseau de bots) utilisé notamment pour réaliser des attaques à grande échelle sur les réseaux. Mirai s’attaque principalement à des dispositifs grand public tels que des caméras pilotables à distance ou encore des routeurs pour la maison. En gros, il force brutalement les appareils IoT, bien que peu de force soit généralement nécessaire, à cause de mesures de sécurité rares (voire nulles). Suite à l’attaque de 2016, le botnet qui en a résulté était composé d’environ 150 000 caméras IP, de routeurs domestiques et même de moniteurs pour bébé.
Des failles de sécurité pour le moins surprenantes
La plupart des fabricants d’objets connectés (IoT) ne placent pas la sécurité au centre des préoccupations de conception. Le plus souvent , de nombreux fournisseurs et l’industrie technologique font alors porter la faute sur les utilisateurs. Il les accusent de n’avoir pas déployé suffisamment d’efforts pour sécuriser les appareils en modifiant les mots de passe par défaut. Et de leur côté, il arrive même que les fabricants fassent des erreurs majeures de sécurité. Ainsi, certains vont jusqu’à coder en dur des mots de passe faciles à deviner dans leurs appareils. C’est le monde à l’envers. Toutes les bonnes pratiques sont bafouées pour des raisons de coût essentiellement. La conséquence c’est que les cyber-risques explosent.
Des responsabilités claires des fabricants
Certes, les utilisateurs ne modifient pas toujours les mots de passe par défaut pour les rendre plus difficiles à deviner. Cela, les fabricants le savent. Alors pourquoi ne proposent-ils pas un mot de passe par défaut unique, difficile à pirater?
On peut toujours facilement reprocher aux utilisateurs de ne pas mettre à jour les systèmes avec les derniers correctifs. Mais, dans la réalité, ces mises à jour fournies par les fabricants d’objets connectés ne sont pas très fréquentes. Et elles n’arrivent généralement qu’après qu’un périphérique ait déjà été piraté. Ils sont en mode réactif et quasiment jamais en mode proactif.
Les dispositifs IoT sont conçus pour être faciles à utiliser. Ce sont aussi, souvent, des appareils destinés à être vendus à un prix attractif. La question du coût de réalisation devient donc un facteur primordial pour les fabricants. Or les compétences en sécurité sont relativement rares sur le marché et, par conséquent, relativement chères. Aussi, très souvent, la sécurité est développée par des techniciens n’ayant pas les compétences suffisantes en matière de sécurité. Au lieu de cela, il faudrait que les fabricants d’objets connectés fassent développer leurs appareils par des spécialistes de la sécurité possédant, en plus, des compétences de développement et ayant une parfaite compréhension des conséquences d’une protection insuffisante. Pas l’inverse!!
Des réglementations insuffisantes
En outre, l’industrie de l’internet des objets n’est, à ce jour, ni normalisée ni réglementée. La conséquence est une anarchie complète pour les utilisateurs finaux. Cela pourrait changer si le gouvernement tentait d’inciter les fabricants d’appareils IoT à adopter une approche de la protection de la vie privée dès la conception (Protection by Design). Les gouvernements pourraient chercher à légiférer si les fabricants d’appareils IoT n’écoutent pas les conseils. Il y a bien sûr une tentative d’évolution dans ce sens avec le RGPD. Malheureusement c’est encore insuffisant pour faire bouger les lignes au niveau des objets connectés..
L’évolution de la surface d’attaque des entreprises
Il est clair que quelque chose ne va pas dans le monde de la technologie lorsque vos utilisateurs deviennent le périmètre du réseau, étant donné le rôle qui consiste à empêcher les menaces de s’infiltrer davantage dans le réseau.
Les appareils IoT ouvrent le réseau à un éventail de risques beaucoup plus large. Ils servent de points de terminaison à sécuriser, tout en diluant les ressources assignées pour la définition classique et traditionnelle de la protection contre les menaces.
La bascule intelligente
Étant donné ce que vous ne pouvez pas faire pour empêcher la compromission des périphériques IoT, quel est le revers de la médaille? Il ne s’agit pas d’un exercice de «longueur de chaîne» comme le suggère la variété presque infinie d’appareils dont nous parlons. D’ailleurs, cette accusation de conception par des « comptables » que nous avons formulée plus tôt va, en fait déjà, commencer à tomber, dès que les vendeurs verront une opportunité du marché de fournir des produits plus sécurisés.
Attendez-vous à ce que la segmentation du réseau et l’authentification entre périphériques (si aucun cryptage de données suffisamment puissant n’est possible) figure parmi les priorités dans les listes de fonctionnalités des objets connectés.
Gardons un oeil sur le futur
Quoi que l’avenir nous apporte, vous ne devez pas perdre de vue ces objets connectés (IoT), ni même leur emplacement. Vous devez absolument savoir quels appareils vous avez, avec quoi ils se connectent et comment ils le font. Tenir un inventaire détaillé des vos actifs informationnels fait partie des bonnes pratiques de sécurité de l’information. Cependant on oublie souvent ces appareils dans la liste des actifs informationnels.
La visibilité est essentielle pour sécuriser l’IoT dans la mesure où votre entreprise est concernée. Ces points de d’accès sont les endroits où les attaquants rechercheront des vulnérabilités pour essayer de franchir le fossé entre les équipements et l’infrastructure de votre entreprise.