Insécurité des objets connectés : comment conjuguer l’IoT et la sécurité
Dans l'engouement lié à l'Internet des objets, il apparaît que les fabricants ont souvent négligé la sécurité des technologies et de les protéger contre les cyberattaques.
Selon le Gartner, 5,5 millions d’objets sont connectés par jour en 2016 dans le monde, un nombre pourrait s’élever à 20,8 milliards d’ici à 2020. Si l’Internet des objets est l’une des innovations de ces dernières années qui offre le plus d’opportunités aux entreprises, il engendre également une multiplication des menaces ciblant les technologies de cet écosystème. Ces attaques visent principalement à prendre le contrôle d’un système pour le détourner de son utilisation initiale et nécessitent donc que les DSI adoptent des politiques de sécurité de bout-en-bout.
Comme pour tout nouveau marché devenu la cible de toutes les attentions et des médias, la merveilleuse idée de l’Internet des objets (IoT) n’a pas tardé à donner le départ d’une course acharnée de concurrents à celui qui commercialiserait son produit avant les autres. Cette activité de production frénétique est accueillie avec grand enthousiasme par tous ceux qui, particuliers comme entreprises, aspirent à tout connecter et automatiser, depuis le système de chauffage et de climatisation de la maison jusqu’aux véhicules.
Mais dans cet engouement, il apparaît que les fabricants ont souvent négligé la sécurité des technologies et de les protéger contre les cyberattaques. La perception des consommateurs d’objets connectés « dédiés et spécialisés » fait qu’ils ne doutent pas de la sécurité des terminaux. Les utilisateurs considèrent souvent le fournisseur comme responsable et suffisamment consciencieux sur les conditions de sécurité applicables. En réalité, les dispositifs IoT ne sont pas bien différents des ordinateurs et systèmes d’exploitation que nous utilisons au quotidien, si ce n’est par leur forme et leur design adaptés à de nouveaux usages. Au final, ils offrent les mêmes avantages et inconvénients et les mêmes vulnérabilités les exposent aux mêmes attaques.
Des vulnérabilités persistantes face à une croissance des attaques visant l’écosystème IoT
10 millions d’attaques informatiques ont été enregistrées en 2015 en France. L’Hexagone a fait son retour dans le top 10 des pays où la cybercriminalité est la plus active, en neuvième position, selon le rapport annuel de la société américaine de sécurité informatique Symantec. Cette remontée est particulièrement due à la hausse des ransomwares, qui ont représentées plus de 391 000 attaques en France en 2015, soit 2,6 fois plus qu’en 2014.
Les véhicules connectés Jeep et Tesla ont fait les frais d’expériences menées par des chercheurs l’an dernier souhaitant démontrer qu’il était possible de pirater les ordinateurs de bord des modèles Cherokee et Model S pour prendre le contrôle des véhicules. L’équipe ciblant la Jeep est parvenue à prendre le contrôle du véhicule à distance pour changer la musique et les réglages de la climatisation et a aussi pu couper la transmission. Pour la Tesla, les hackers ont eu accès physiquement aux câbles du réseau de la voiture pour changer les privilèges administrateur du système d’info-divertissement embarqué, ce qui leur a permis de démarrer et piloter le véhicule et de l’arrêter.
Heureusement, les chercheurs ont communiqué leurs conclusions aux constructeurs qui ont pu développer des correctifs. Dans son récent rapport annuel sur les menaces informatiques, Dell prévient néanmoins les constructeurs et utilisateurs de véhicules connectés insuffisamment sécurisés qu’ils n’auront pas toujours cette chance. Avec l’intensification des ransomwares ciblant les appareils sous Android en 2015, l’étude informe du risque d’être victime d’une attaque sur le modèle de la rançon qui empêche le conducteur de quitter le véhicule tant qu’il n’a pas versé la somme exigée. Et ce n’est qu’une des possibilités que les cybercriminels ne manqueront pas d’imaginer pour obtenir de l’argent en prenant le contrôle de véhicules privés ou d’entreprise.
En 2015, iPower Technologies a découvert un malware, le ver Conficker, caché dans les caméras espion qu’un officier de police judiciaire, client de l’entreprise, venait d’acheter. Le CEO de la société iPower Technologies témoigne dans un article :
Nos ingénieurs iPower ont connecté la caméra USB à l’un de nos ordinateurs. De multiples systèmes de sécurité dans notre environnement de test se sont alors déclenchés pour nous alerter de la présence d’une nouvelle menace. C’était en réalité une variante du ver Conficker que nous avons immédiatement mis en quarantaine. Une seconde caméra a été branchée à un PC virtual lab sans antivirus. Notre pare-feu de nouvelle génération a immédiatement informé iPower de la tentative du virus de se propager sur le LAN et l’a empêché de communiquer avec les serveurs de commande et de contrôle sur l’Internet public.
Dans ce cas particulier, l’objectif du hacker était d’utiliser les caméras espion comme un vecteur d’attaque pour accéder à des données confidentielles du gouvernement. On ignore si le cybercriminel envisageait d’utiliser ces données à des fins politiques ou économiques. Il est vivement déconseillé aux utilisateurs de penser que les dispositifs IoT ne sont pas des vecteurs d’attaques potentiels et qu’ils peuvent avoir confiance en tout objet connecté.
Déployer une stratégie de sécurité de bout-en-bout pour profiter pleinement des opportunités offertes par l’Internet des objets
Cette découverte a permis de démontrer deux choses : premièrement, les technologies IoT ne sont guère que des ordinateurs et systèmes d’exploitation conditionnés différemment mais s’avèrent tout aussi vulnérables qu’un PC lambda ; En second lieu, les fabricants ne sont pas toujours pleinement conscients de ce qui peut venir se greffer sur leurs systèmes pendant les étapes de production ou de distribution. Cela invite à une plus grande rigueur pour protéger les dispositifs déployés et nous protéger d’eux. Ces types de vulnérabilités pourraient induire des compromissions de données de grande ampleur, d’autant plus que BI Intelligence dévoile que les gouvernements pourraient être les plus fervents adeptes de l’écosystème IoT au cours des prochaines années.
Qui seront les premiers utilisateurs ? Les entreprises qui, selon BI Intelligence, vont s’approprier l’IoT pour réduire leurs coûts de fonctionnement, gagner en productivité et développer leurs produits ainsi que leurs marchés cibles. Pourtant, selon une étude Symantec sur les cybermenaces, les attaques ciblées en France concernent 57% des PME et 28,9% des entreprises de plus de 1 500 employés. De plus, le rapport annuel de Dell Security sur l’état des menaces souligne que les entreprises sont déjà la cible d’un nombre croissant de cyberattaques, avec 2,17 mille milliards d’attaques de systèmes de prévention des intrusions (IPS) et 8,19 mille milliards d’attaques de malwares rien qu’en 2015.
Les entreprises qui souhaiteraient malgré tout déployer des dispositifs IoT dont la sécurité est perfectible devront mettre en place des stratégies de sécurité de bout-en-bout. Voici quelques recommandations en ce sens :
- Adopter une approche globale de la sécurité : Il s’agit de vérifier que les données sont protégées et chiffrées du datacenter ou du cloud jusqu’au terminal et à chaque étape intermédiaire. Contrôlez la sécurité des terminaux, la sécurité du réseau, la gestion des identités et des accès, etc.
- Analyser vos appareils : Comprenez l’impact de vos terminaux connectés sur vos réseaux, les données qu’ils collectent et communiquent, leur origine, et ce que dévoilent toutes les évaluations de vulnérabilités ou les éventuelles certifications des dispositifs concernés.
- Faire un audit du réseau : Réalisez un état des lieux en amont de l’installation d’un appareil pour bien comprendre son impact sur le trafic réseau. Organisez un audit pour obtenir une vision globale des dispositifs qui ont accès au système, quand, ce qui se produit au moment de l’accès aux données et ce qui est communiqué à telle personne et à tel endroit. Réalisez une nouvelle analyse des performances du réseau après avoir installé l’appareil IoT et identifiez systématiquement les changements qui se produisent.
- Compartimenter le trafic : Adoptez une politique « zéro confiance » vis-à-vis des dispositifs IoT. Rassemblez-les sur un segment du réseau ou un VLAN séparé de telle sorte qu’ils ne puissent pas accéder ni interférer avec des données stratégiques.
- Former les équipes : Au gré de l’évolution de l’écosystème IoT, vous devrez impérativement veiller à ce que vos équipes responsables des services informatiques, de la sécurité et du réseau soient formées à utiliser les nouveaux équipements, qu’elles connaissent les standards et les problèmes fréquents.
Les fabricants et fournisseurs vont commencer à intégrer des paramètres de sécurité directement au cœur de leurs technologies IoT, mais pour le moment c’est à l’utilisateur qu’il revient de se protéger contre les cyberattaques. Il ne faut pas y voir une raison de se détourner des dispositifs IoT, mais plutôt un encouragement à prendre les orientations stratégiques adéquates et à adopter des stratégies de sélection des produits, de mise en œuvre et de maintenance.
L’IoT est l’une des innovations de ces dernières années qui offre le plus d’opportunités aux entreprises qui doivent ainsi organiser leur migration vers une infrastructure connectée moderne et efficace. Evitez simplement que le dernier gadget connecté commercialisé à la hâte ne vienne mettre à mal la sécurité de votre organisation au risque de vous coûter très cher.