Les objets connectés, maillons faibles de la cybersécurité ?   Mise à jour récente !


Share Button

Par la Rédaction ORSYS

IoT - Objets connectés

Mal sécurisés tout en étant reliés à Internet, les objets connectés offrent un vecteur d’attaque idéal pour les pirates. Leur multiplication fait peser des risques lourds pour les particuliers comme pour les industriels.

Les malwares, parcours d’une menace annoncée

Mirai revient. Ce malware qui permet de créer des réseaux d’objets connectés zombies afin d’opérer des attaques en déni de service (DDoS) prend le contrôle désormais, selon Bleeping Computer, de téléviseurs après avoir jeté son dévolu sur des caméras sous IP, des modems et autres routeurs.

Mirai s’est fait connaître à l’automne 2016 quand il a fait tomber Netflix, Spotify, Twitter ou PayPal en s’attaquant à leur fournisseur de DNS, l’américain Dyn. À la même époque, l’hébergeur français OVH a lui aussi été paralysé – et certains de ses clients avec, sous l’afflux de millions de requêtes. Depuis, les variantes de Mirai se sont multipliées.

En soi, le principe du botnet n’est pas nouveau. L’idée de créer un réseau d’ordinateurs malveillant est née avec le Web. Ce qui change avec les objets connectés, c’est la surface d’attaque. Montres, bracelets, thermostats, caméras, ampoules et enceintes connectées… 11,2 milliards d’objets connectés sévissaient dans le monde en 2017, selon Idate. Ils devraient être 35 milliards en 2030.

Pour l’heure essentiellement orientés grand public, ces objets connectés ont pour particularité d’être faiblement sécurisés voire pas protégés du tout alors que certains disposent d’une bande passante de plusieurs dizaines de Mbps. Et quand ils ont un mot de passe, c’est souvent celui entré par défaut de type « admin » ou « 1234 » ! Les protocoles de communication sans fil de type Bluetooth sont également pointés du doigt.

L’attaque en déni de service n’est pas le seul risque identifié. Selon le principe du cryptomining, des objets connectés compromis peuvent être utilisés pour miner des crypto-monnaies. Beaucoup plus préjudiciable, des pirates ont réussi à s’introduire au cœur des foyers en se connectant à distance à des caméras domestiques ou à des enceintes connectées voire à accéder à des données de santé via des bracelets ou des montres.

Sécurisation des objets connectés : quelques conseils

Quelques conseils de bon sens peuvent être donnés. S’il est impossible de mettre un antivirus derrière chaque objet connecté, il est conseillé de passer par un réseau WiFi chiffré, d’opter pour un mot de passe robuste et d’activer, quand elle existe, l’option de mise à jour automatique.

Particulièrement intrusifs, les enceintes connectées doivent faire l’objet de précautions spécifiques, surtout si elles sont utilisées pour acheter en ligne. Dans un livre blanc, Symantec conseille notamment de mettre l’appareil en mode « mute » (muet) quand il n’est pas utilisé. Autre éditeur spécialisé, Trend Micro fait, lui, le tour de la maison intelligente qui livre aussi des risques de sécurité physique avec ses volets roulants et ses serrures intelligentes.

Avec les premières attaques médiatisées, on note une prise de conscience des risques encourus. Selon une étude réalisée par OpinionWay pour l’Internet Society, 76% des Français estiment que les objets connectés présentent un risque pour le respect de la vie privée ou la protection de leurs données personnelles.

Un sondage qui a conduit le chapitre français de l’Internet Society a lancé un groupe de travail dédié à la sécurité de l’IoT associant entre autres l’Afnic, l’Anssi, l’Arcep, le Cinov-IT ou le Conseil National du Numérique (CNNum). Il publiera des recommandations d’ici la fin de l’année.

L’IoT industriel fragilisé par les menaces

Il s’agit là du volet grand public. Les risques dans la sphère professionnelle sont d’une autre nature. Dans le cadre de l’usine du futur, les industriels multiplient les capteurs mesurant la chaleur, l’humidité, la pression, l’accélération ou les vibrations afin de surveiller leurs équipements et prévenir. Sans parler des robots.

Alors que le système d’information des usines vivait en vase clos, cet IoT industriel en exposant le SI à tous les vents crée de nouvelles fragilités. Pour sensibiliser les entreprises à ces nouveaux risques, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié un guide dédié à la protection des systèmes industriels dits Scada (Supervisory control and data acquisition).

Sales Development Manager France chez Paessler AG, Christophe da Fonseca pointe, dans une tribune, l’obsolescence programmée des ces objets connectés. Alors que des composants industriels peuvent durer 20 à 25 ans, « un système de communication installé dans une turbine contrôlée par l’IoT sera obsolète bien avant que le système IT lui-même doive être remplacé, et il paraît peu probable que des mises à jour soient proposées pendant toute la durée de sa vie opérationnelle. »

Il faut aussi, selon lui, prendre en compte le facteur humain. « Les collaborateurs impliqués dans l’installation, la maintenance et le contrôle des systèmes IoT dans les environnements industriels et commerciaux ne sont généralement pas des experts IT. »

« En cas de défaillance d’une installation industrielle, poursuit l’expert, il sera naturel pour un technicien de se focaliser sur sa technologie spécifique et en se basant sur sa formation et son expérience. Il recherchera donc un défaut des équipements sans soupçonner une cyber-attaque de l’installation. En cas de coupure de courant dans une grande entreprise, aucun gestionnaire de bâtiment ne songera à une éventuelle attaque de hackers. »

Les objets connectés envahissent aussi les bureaux

Les industriels ne sont pas les seuls concernés. Avec le développement des bâtiments intelligents et du BYOD (Bring Your Own Device) – les salariés travaillent avec leurs Smartphones, montres et autres bracelets connectés – même les sociétés de services sont déjà cernées par les objets connectés.

Selon Gartner, un DSI moyen sera responsable, d’ici 2023, de trois fois plus de terminaux que ce qu’il avait à gérer en 2018. Il devra pouvoir dresser un inventaire exhaustif de tous les périphériques présents en entreprise puis adopter une stratégie de « containerisation » laissant seulement les terminaux autorisés accéder au SI.

Dédiées à la gestion d’une flotte de mobiles, des solutions de MAM (Mobile Application management) et de MCM (Mobile content management) permettent déjà d’interdire l’installation ou l’accès aux applications non conformes à la politique de sécurité sur les smartphones et les tablettes et d’encadrer la manière dont les données sont utilisées et partagées.

Une autre piste évoquée par les fournisseurs de Cloud a pour nom « edge computing ». Il s’agit de traiter les données au plus proche des objets connectés plutôt que de les transférer dans le cloud pour assurer cette opération. Ce traitement en mode local offrirait davantage de garanties en termes de sécurité et de respect de la vie privée.

Quelle que soit la solution retenue, nos DSI ne sont pas au bout de leur peine. En augmentant significativement les débits et en densifiant le réseau, la 5G devrait fortement accélérer l’adoption des objets connectés.

Plus de 120 formations sur la cybersécurité !
Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *