Ransomwares et appareils IoT : prédictions 2018

En 2017, nous avons vu, avec le malware Mirai, la première exploitation significative d’équipements IoT par des tiers malveillants. Mirai a relié les appareils à un réseau zombie, utilisé ensuite pour lancer des attaques.

Il est important de tenir compte de la différence entre un ransomware traditionnel, comme ceux que l’on voit sur des ordinateurs et des serveurs courants, et un ransomware qui infecte un appareil IoT. Dans le premier cas, les données sont généralement chiffrées et l’utilisateur voit son accès à ses données critiques verrouillé. Dans d’autres cas, la restauration de sauvegardes et d’anciennes images de l’ordinateur peut permettre à un utilisateur de retrouver le contrôle et ses données. Dans le pire des scénario, les victimes peuvent payer la rançon pour déverrouiller les données.

Le ransomware IoT a pour but d’empêcher la victime de contrôler les fonctions d’un appareil. Bien qu’il soit rare de stocker des données critiques sur des appareils IoT, le manque de données est la principale raison pour laquelle bloquer l’accès de l’utilisateur aura un impact.

Imaginons que l’accès au thermostat d’un domicile soit bloqué alors qu’il fait entre -5 et -10 °C dehors. La première réaction sera de trouver comment payer la rançon pour retrouver le contrôle avant de se retrouver dans une situation critique. Il est donc possible d’appliquer le même principe à une infrastructure IoT à plus grande échelle, comme le système de climatisation d’un datacenter. Quels dégâts un arrêt de la climatisation pourrait-il causer aux serveurs du datacenter ? Cela pourrait-il avoir des conséquences sur le fonctionnement de l’entreprise ?

De la même façon, il est possible d’imaginer des attaques similaires ciblant des appareils IoT médicaux. Bloquer l’accès d’un utilisateur à son pacemaker ou à une pompe à perfusion pourrait représenter une menace vitale.

Ces appareils IoT reposent sur un système intégré avec une application de collecte de données qui communique avec des fonctionnalités applicatives et de stockage dans le cloud. Il est possible, pour une entité malveillante, de corrompre ou de chiffrer les données envoyées à l’application cloud avec les mêmes outils qui sont utilisés pour saboter le système afin de verrouiller l’appareil. On peut par exemple chiffrer les vidéos capturées et stockées centralement sur une caméra IoT, afin de les rendre inutiles.

Nous pouvons donc supposer que 2018 verra une augmentation des activités concernant le ransomware IoT. Le manque de sécurité des appareils IoT est l’un des facteurs qui rendent l’opération intéressante et viable. Ces équipements sont connus pour leurs identifiants de connexion par défaut, leurs configurations et protocoles non sécurisés, et la difficulté de leur mise à niveau. Ils sont d’autant plus faciles à saboter.

En outre, l’arrivée d’outils de piratage de protocole de très bas niveau, comme KRACK, va offrir aux hackers de nouveaux moyens de contourner l’infrastructure IoT et de la compromettre. Cela peut augmenter le risque d’attaques pour les équipements IoT à grande échelle comme le système de climatisation ou de chauffage d’un bâtiment. L’accès à un protocole de bas niveau et sa prise de contrôle pourraient offrir la possibilité d’injecter ou de manipuler des données. Les implications peuvent être sérieuses si les équipements IoT nécessitent de se synchroniser avec une application cloud ou d’en recevoir des messages faisant office de commandes. La manipulation des données pourrait entraîner l’envoi de la mauvaise action ou du mauvais paramètre à l’équipement IoT.

Dans le cadre du déploiement d’appareils IoT, il faudrait donc évaluer la sécurité des équipements selon plusieurs angles, notamment logiciel, matériel et réseau, pour en assurer l’efficacité :

  • Sécurité des logiciels : il est difficile de vérifier que le fabricant de l’appareil construit ses nouveaux équipements sur des bases logicielles robustes et sécurisées.
  • Sécurité des équipements : la sécurité physique est indissociable de la sécurité logicielle. L’intégration de mesures d’inviolabilité dans les composants de l’appareil permet d’interdire leur accès et leur décodage sans autorisation. Il est nécessaire d’envisager l’ajout de commutateurs ou disjoncteurs physiques qui permettent à l’utilisateur de désactiver physiquement certaines fonctions. Par exemple, un bouton physique permettant de couper le son pour les appareils possédant un micro, ou des réglages physiques de la limite supérieure et inférieure d’un système de contrôle de la température.
  • Sécurité du réseau : vérifiez que vous utilisez des protocoles sécurisés comme HTTPS pour les échanges de données entre l’appareil IoT et les solutions de gestion ou de stockage en arrière-plan. Il faut également vérifier que des modes d’authentification robustes sont en place et que tout mot de passe ou toute clé pouvant être changé l’a été et ne jamais laisser aucun identifiant par défaut.

L’utilisation et la mise en œuvre de ces principes de sécurité de base contribueront à une défense efficace  contre les attaques de ransomware visant les appareils IoT. Il est important de traiter les appareils IoT comme tout autre système informatique déployé, et de sécuriser ces appareils comme cela sera fait pour tout autre équipement.

Annonces Google