Alex Balan (Bitdefender) "Ouvrir les plateformes IoT aux testeurs indépendants est la meilleure garantie de sécurité"

Le responsable des recherches de sécurité de l'éditeur d'antivirus met en garde les fournisseurs de services IoT en mode cloud contre les mauvaises implémentations et les erreurs de conception.

Alex Balan, chef des recherches en sécurité chez Bitdefender. © Bitdefender

JDN. Vous avez présenté ce 26 février lors de la conférence RSA à San Francisco plusieurs cas de failles liés à la gestion cloud des objets connectés. D'où provient ce phénomène ?

Alex Balan. Dans l'IoT grand public, 99% de l'architecture est basée sur le cloud afin de pouvoir monitorer l'objet depuis un smartphone. Or, nous nous sommes rendus compte que peu d'éditeurs cloud spécialisés dans ce domaine vérifient la bonne implémentation de leur plateforme. En observant l'ordre que l'utilisateur envoie depuis son téléphone, et ce qui est reçu par l'objet, nous avons découvert de nombreuses failles dues à des erreurs de conception. Par exemple, sur la plateforme cloud Kalay de Guardzilla, qui permet de piloter les caméras connectées du constructeur du même nom, le device possède bien un ID unique d'identification mais de son côté, l'utilisateur détient un ID non modifiable pour échanger entre son portable et le cloud. Du coup, il est d'emblée peu sécurisé. En plus, ce numéro est prévisible du fait d'un format trop court dont seul le dernier numéro change d'un client à l'autre. Un hacker peut donc retrouver aisément cette suite de chiffres et ainsi parvenir à pirater l'objet connecté de l'utilisateur. Autre exemple avec iBaby Monitor, dont une mauvaise implémentation cloud donne accès aux enregistrements de ses babyphones. 

Qu'est-ce que les éditeurs de plateforme IoT oublient de vérifier ?

La plupart se focalisent sur l'encryption des messages, certains élaborent des systèmes complexes avec des ID de 42 caractères mais ils oublient de vérifier l'implémentation du système sur leur plateforme cloud. Or, le mécanisme qui vérifie le chiffrement peut-être lui-même piraté. Il arrive aussi que l'architecture des API ne soient pas sécurisée. Lors de nos travaux sur Guardzilla, nous nous sommes aperçus qu'une API pouvait être imitée pour inviter d'autres utilisateurs à accéder aux vidéos d'une caméra sans que son propriétaire en soit notifié. Procéder à la vérification du code n'est pourtant qu'une analyse logicielle, sans surcoût.

Quand nous avons découvert les failles sur la plateforme chinoise eWeLink, qui réunit plus de huit millions de devices, nous avons averti l'entreprise que si l'on enregistrait un nouveau compte utilisateur avec l'ID d'un objet déjà présent sur la plateforme, le pirate pouvait y accéder. eWeLink a développé un patch en moins d'un mois.

Que doivent mettre en place les éditeurs selon vous pour éviter les failles ?

Rien ne sera jamais infaillible. Toute erreur est une porte ouverte pour les botnet, et les hackers cherchent de plus en plus à exploiter l'IoT. Le meilleur conseil que je puisse donner est d'ouvrir les plateformes à des testeurs indépendants pour en vérifier les vulnérabilités. Par ailleurs, je recommanderais au grand public d'utiliser des objets connectés de grandes entreprises car ce sont les plus réactives pour corriger les failles. Depuis que nous avons alerté iBaby Monitor de l'existence de failles sur son système en juin 2019, nous n'avons eu aucun retour.

Alex Balan est responsable des recherches de sécurité chez Bitdefender. Au cours de sa carrière, il s'est concentré sur la sécurité de l'information, de l'innovation et la stratégie produit, pour lesquelles il a plus de 15 ans d'expérience. Il a notamment conduit la stratégie autour des solutions de sécurité basées sur Unix de Bitdefender.