Sécurité applicative : pourquoi passer au DevSecOps ?

IoT - la résolution du risque cyber est-elle possible ?

Sécuriser
Auteur.e :
Laurane S.

Dans un monde obligatoirement connecté est né : l’internet des objets, appelé « IOT » ! Ce terme comprend tous les objets qui peuvent se connecter à internet. Les assistants personnels tels qu’Alexa ou Google Home ne cessent de croître avec le temps, et cela touche donc les balances, les caméras de surveillance, les portails, les jouets, les montres et tous autres objets dits « intelligents » de la maison.

L’Internet des objets a bénéficié d'une grande attention médiatique de la part du grand public. En réalité, le concept d'industrie 4.0 et d'innovation touche tous les secteurs d'activité. Ces objets connectés se retrouvent désormais dans un nombre croissant de zones sensibles. Prenons l'exemple du domaine de la distribution d'énergie ou bien de la santé, la chimie et la pharmacie, la construction aéronautique les transports.

Le nombre d'objets connectés est désormais estimé à environ 30 milliards, avec une augmentation annuelle de plus de 20 %. Strategy Analytics, une société dédiée à l'analyse des marchés industriels, a estimé qu'il y avait 22 milliards d'appareils IoT dans le monde en 2019. Cela inclut les smartphones, les enceintes, les téléviseurs, les montres, les tablettes, les ordinateurs, etc. Cette société prévoit 38,6 milliards d'appareils connectés en 2025 et 50 milliards en 2030. Avec une valeur de marché potentielle de 1000 milliards de dollars d'ici 2026. Cela implique que ces appareils deviendront de plus en plus courants dans notre vie quotidienne.

Vous l’aurez compris, la cybersécurité entre en jeu et il est essentiel de se demander le rôle qu’elle joue puisque les avantages de ces objets comportent également des risques et des problématiques très actuelles. Est-ce possible à résoudre ?

L’urgence et la vulnérabilité

En raison du nombre croissant d'objets personnels connectés et de la concurrence féroce, les industries se lancent dans une course contre la montre. Cette course se fait souvent au détriment de la sécurité.

Pourtant, les menaces sont nombreuses et touchent aussi bien le grand public que les secteurs professionnels et industriels.

De nombreux fabricants utilisent le même ensemble d'informations de connexion par défaut sur tous leurs appareils. Au lieu de générer un ensemble de login aléatoire pour chaque produit conçu. Cette méthode est évidemment propice à la production de masse à faible coût, mais elle ignore l'aspect sécurité. Elle ouvre la porte à des attaques potentielles et, surtout, permet une explosion des menaces aux conséquences potentiellement désastreuses.

A la suite d'une erreur de configuration, plus de 2,4 millions de fiches clients ont été exposées sur Internet en 2019. Wyze, l'entreprise américaine incriminée, est spécialisée dans les caméras de surveillance IP et les produits pour la maison intelligente.

Selon une étude récente de SonicWall, un fournisseur de solutions de cybersécurité, le nombre d'attaques de logiciels malveillants ciblant l'IoT a augmenté de 30 % en 2020 pendant la crise sanitaire du COVID-19.

Le risque d'interruption des services cloud est de plus en plus sérieux. Il met en péril la sécurité de ces objets interconnectés. L'évolution de l'Internet des objets s'accompagne de l'utilisation du cloud comme solution d'hébergement, de traitement, d'échange et de stockage des données. La défaillance de ces plateformes entraîne l'arrêt ou le dysfonctionnement des appareils IoT qui en dépendent.

Les clouds publics sont une cible d’attaques

Il s'agit d’actions malveillantes qui limitent fortement la capacité d'un système à fournir le service attendu. Lorsque ces actions sont lancées à partir de plusieurs sources, elle sont communément appelées déni de service distribué (DDoS). Les botnets sont fréquemment à l'origine de ces sources (réseaux de machines appelées "zombies" et contrôlées à distance par un attaquant).

Le but de ces attaques DoS et DDoS est d'empêcher un service de fonctionner correctement en le rendant indisponible. Dans notre cas, il s'agit de services en nuage. Ces attaques peuvent également être utilisées pour exploiter d'autres failles, voire prendre le contrôle du système et donc de l'objet connecté.

Le botnet Mirai a été utilisé dans l'une des plus violentes attaques DDoS jamais enregistrées à l'automne 2016, exploitant des vulnérabilités IoT. Parmi les victimes figurent notamment la société française d'hébergement web OVH et la société Dyn. De nombreux sites et services, dont Twitter, PayPal, Airbnb et Netflix, ont été rendus inopérants pendant plusieurs jours à la suite de cette attaque. Le fonctionnement de Mirai reposait sur une recherche continue d'adresses IP correspondant à des objets connectés et vulnérables. Avec pour objectif de prendre le contrôle et de diriger des attaques DOS contre d'autres serveurs et d'autres cibles finales.

L'IoT est largement utilisé dans le secteur de la santé pour surveiller l'état des patients et fournir une multitude d'informations. La défaillance de cet équipement pourrait avoir des conséquences irréversibles sur la santé du patient. En outre, la divulgation de données médicales pourrait être désastreuse pour l'établissement médical et le patient.

L’accès au système informatique d’établissements de santé sont le risque des équipements mal protégés

Une machine à laver connectée a été piratée fin 2020, permettant d'accéder au système informatique d'un hôpital français. L'hôpital a ensuite été frappé par une attaque de ransomware, qui a rendu l'ensemble de l'établissement inopérant.

Dans l'industrie automobile, une défaillance des équipements IoT chargés de détecter les obstacles sur la route pour les voitures à conduite autonome pourrait provoquer un accident et mettre en danger la vie des passagers et des autres usagers de la route.

Derrière les objets connectés de notre quotidien se cachent de nombreux problèmes de sécurité. Jouets piratés pour enfants, montres de fitness dont on peut récupérer les emails, SMS et autres données, etc. L'utilisation de ce type de montres connectées a permis la découverte d'une base militaire américaine secrète. Quelle en est la cause ? A partir des traces GPS liées aux parcours sportifs des soldats sur la base.

De nombreuses personnes s'interrogent sur la nécessité de définir et d'imposer des mesures et des normes de sécurité face aux menaces et aux conséquences que l'IdO peut engendrer. Elles nous permettraient de mieux contrôler la conception et l'utilisation des objets connectés. Ceci afin de réduire les scénarios d'attaque qui profitent des faiblesses de ces appareils.

Dans la gestion de l'IoT, une sécurité renforcée devrait être observée, suivie d'une évolution normative. Mais, en attendant, il existe de nombreuses solutions pour faire face efficacement à ces menaces.

IoT et sécurité : les bonnes pratiques

Commençons par deux idées fondamentales : "security by design" et "privacy by design". Ces concepts regroupent les meilleures pratiques à suivre dès le début du processus de conception du produit. Il s'agit d'intégrer les concepts de sécurité et de confidentialité au cœur du produit.

Protection des communications et sécurisation des données

Lorsque vous connectez votre appareil IoT, il communique avec d'autres appareils. Ces communications, ainsi que les méthodes qu'elles emploient, sont définies pendant la phase de conception car elles régiront le développement des futures applications ou interactions. Contrôler les communications des appareils implique également de s'assurer que le destinataire correct est adressé. Les communications Internet s'effectuent selon des protocoles et des ports définis au moment de la conception du produit.

"...les fabricants font fi des bonnes pratiques de sécurité et continuent d'utiliser des protocoles dont la robustesse a été remise en cause à plusieurs reprises."

Les recommandations

Ils recommandent, par exemple, de restreindre l'accès aux seuls ports nécessaires, ainsi que de restreindre l'accès aux seules adresses IP autorisées. Pour assurer la confidentialité des communications, il est toujours nécessaire d'utiliser un protocole sécurisé et standard. Un protocole sécurisé est un protocole qui utilise le cryptage pour réduire l'exposition des données transmises et ainsi éviter qu'elles ne soient transmises en clair. Cela s'applique aussi bien à l'appareil qu'à toute application ou interface administrative associée. Par ailleurs, les fabricants font souvent fi des bonnes pratiques de sécurité et continuent d'utiliser des protocoles dont la robustesse a été compromise à de nombreuses reprises.

L'exposition de l'interface d'administration d'un réseau ou d'un appareil sur une adresse non sécurisée avec des informations d'identification par défaut peut suffire à permettre une intrusion dans le réseau. La motivation d'un attaquant peut être d'intercepter ou de voler des informations sensibles, mais aussi de prendre le contrôle de dispositifs dans un but plus lucratif (minage de crypto-monnaies, botnets pour effectuer des attaques par déni de service distribué (DDoS), et ainsi de suite). Ce sort malheureux peut perturber les connexions sans fil, mais n'oubliez pas que l'objectif des solutions de sécurité est de vous protéger contre les vulnérabilités connues et le vol d'identité.

Pour rappel, un appareil mal sécurisé peut être utilisé comme une passerelle et exploité à des fins malveillantes. L'impact sur l'image de marque du fabricant peut être important, et il le sera encore plus si le dispositif implique une intrusion dans la vie privée des consommateurs : dispositifs médicaux, domotique, etc.

Sensibiliser les utilisateurs : une priorité pour éviter la mauvaise utilisation de ces appareils

Les consommateurs sont encore largement inconscients des dangers que représentent l'hyperconnexion dans leur vie quotidienne. Beaucoup y voient une amélioration du confort, de la fonctionnalité ou la simplification de certaines tâches. Si certains consommateurs s'inquiètent de l'impact de ces objets sur leur vie personnelle, peu d'entre eux ont les réflexes pour s'assurer qu'un produit ne présente pas de risques. En effet, les concepts sont encore trop techniques et ne sont pas encore largement acceptés. Par conséquent, les consommateurs doivent faire preuve de prudence lorsqu'ils achètent des produits, collectent des données et se fient à la connectivité. Les fabricants sont également chargés de sensibiliser le public aux risques. Ceci afin de se protéger contre les poursuites judiciaires des consommateurs (class-actions, boycott, etc.).

La maîtrise des données

L'autre enjeu de la sécurité de l'IoT est de garantir la confidentialité et la sécurité des informations traitées et/ou stockées. La nature des données collectées et traitées par ces dispositifs est devenue un point de discorde, notamment avec la mise en œuvre du RGPD. Ce dernier nécessite deux points en particulier : la minimisation de la collecte des données (qui permet de limiter la surface d'attaque par ingénierie sociale) et le stockage des données. La sécurité de ces données stockées devient encore plus importante lorsque l'hébergement se fait dans le Cloud, auquel cas l'utilisateur n'est plus le seul propriétaire de ses propres données.

Les données doivent être protégées en respectant les critères de sécurité standard (confidentialité, intégrité, disponibilité et traçabilité), surtout lorsqu'il s'agit de données sensibles (par exemple, les données relatives à la santé).

Retour à l'acceuil
Nos derniers articles
Pourquoi passer au DevSecOps
Cyber conseils
Allô ? Ici le PBX Hacking
Lire l'article
Pourquoi passer au DevSecOps
News Seela
Intelligence Autonome : le cas Uber
Lire l'article
Pourquoi passer au DevSecOps
Sécuriser
L'Attaque Kaseya, quelles leçons à tirer ?
Lire l'article
Accéder à tous les articles