Le cabinet de conseil en Systèmes d’Information explique pourquoi la sécurité est un enjeu crucial dans l’IoT.
Ultra-connecté, un terme qui résume bien les modes de communication et d’échange d’information d’aujourd’hui. Il faut être « on line », à tout moment de la journée, dans n’importe quel lieu, sur tous les supports et objets à notre disposition.
En l’espace d’une dizaine d’années, nos habitudes, nos technologies ont été profondément transformées quitte à réinventer certains objets de notre quotidien.
L’explosion d’Internet et des nouveaux moyens d’interactions avec le monde ont été les précurseurs de ces changements. Pour le grand public, aujourd’hui, les objets connectés sont partout :
• Dans nos maisons :
o Les smart TV
o Les caméras de surveillance
o Les équipements de supervision de la consommation en énergie, en eau
• Autour de nous :
o Les voitures connectées, avec plusieurs technologies dans les systèmes embarqués
o Les routeurs WIFI omniprésents
• Sur nous :
o Montres, smartphones, bracelets pour quantifier et assurer un suivi de nos performances sportives et autres indicateurs de santé, forme
Toutes ces innovations ont bousculé nos codes de consommation, créant ainsi de nouveaux besoins.
La tendance actuelle est à « ATAWAD », en d’autres termes : Any Time, Any Where, Any Device.
Cette vague d’évolutions n’est pas anodine, car elle s’accompagne d’un lot de failles de sécurité qui font office de porte d’entrée pour différentes sortes d’attaques.
A différentes échelles, ces dernières ont causé des difficultés plus ou moins majeures à certaines entreprises, tant sur le plan financier, physique, qu’en termes d’image publique.
L’internet des objets, la nouvelle arme des hackeurs
L’environnement (IOT, Cloud, BYOD) est la source d’une bonne partie des récentes cyber-attaques. Nous générons beaucoup trop d’informations, très facilement accessibles et souvent non chiffrées.
Définir un « ordinateur » en 2017 est devenu complexe pour les RSSI. Pour garantir la protection des ressources SI, des données, se contenter de la bureautique classique (ordinateurs, imprimantes, serveurs) n’est plus suffisant.
Il faut également inclure ces nouveaux appareils tels que les caméras, thermostats ou encore télévisions connectés.
La fin d’année 2016 a été le théâtre d’une actualité très riche, marquée par de multiples cyber- attaques, plus exactement, des attaques par déni de service d’un nouveau genre.
L’origine commune ? MIRAI, un malware qui scanne le web à la recherche d’objets facilement « piratables » au regard des négligences sur les aspects d’authentification et de chiffrement.
Certains équipements commercialisés aujourd’hui sur le marché, présentent de nombreux défauts et failles en sécurité :
• Mot de passe par défaut, codé « en dur »
• Mise à jour très rare, voir quasi absente
• Chiffrement des communications inexistant
Tant d’opportunités pour MIRAI qui profite de ces vulnérabilités pour recourir à des attaques par dictionnaire, récupérant ainsi le mot de passe d’administration. De ce fait, le hackeur prend possession de l’objet, faisant de lui un « thingbot », en d’autres termes, un équipement zombie.
Cette aisance de prise de contrôle se traduit par une armée de près de 500 000 équipements IoT compromis à travers le monde, utilisables en simultané pour lancer des attaques DDos.
2016 en a été le théâtre :
• Septembre :
o le blog du journaliste et spécialiste en cyber-sécurité, Brian Krebs, avec un débit de requête à 620 Gb/s. Le site a été paralysé durant toute la période de l’attaque
o l’hébergeur français OVH avec un débit de requête estimé à 1,5 Tb/s. Ce dernier a subi des lenteurs dans ses activités
• Octobre :
o DYN* qui a subi deux attaques consécutives, avec un débit de requête à 1,2 Tb/s. De nombreuses sociétés tels que Twitter, Ebay, Netflix, Github, PayPal ont été ainsi inaccessibles durant la journée de l’attaque
Un avenir incertain et menacé pour l’IoT
Autre attaque jugée menaçante pour les objets connectés, le ransomware (RW). Selon les chiffres de l’étude réalisée par McAfee en 2016, 3 860 603 attaques de ce type ont été recensées dans le monde. Avec une augmentation de 80% par rapport à l’année précédente qui s’explique en partie par l’évolution des techniques d’intrusion et des méthodes d’infection. Un nouveau tournant a été marqué dans la cybercriminalité.
En décembre 2016, une attaque d’un nouveau genre fait son apparition. Une smart TV, de la marque LG, a été infectée par un RW. Malgré une remise en configuration d’usine, cette dernière est restée inutilisable car la rançon n’a pas été payée.
Historiquement, les RW se focalisaient sur les secteurs de la santé, de l’industrie, rentables pour la prise d’otage des données. Les récents événements de Mai et juin 2017, avec WannaCry, ont été la parfaite démonstration de l’efficacité d’un RW.
C’est ainsi que :
• Plus de 200 000 ordinateurs et machines ont infectés.
• Les infrastructures SI de 45 hôpitaux en Angleterre et Ecosse ont été pris en otage.
• Le groupe RENAULT a connu un arrêt partiel ou complet de plusieurs sites de production.
Enfin, dans le cadre de plusieurs projets de recherche et de tests de pénétration, un thermostat, mais également une voiture de la marque Mitsubishi, ont été piratés car leurs systèmes de communications, leurs logiciels embarqués n’étaient pas suffisamment protégés.
Aujourd’hui, une réflexion doit être menée sur la course des industriels à conquérir le marché de l’IoT. Avec des « time-to-market » très courts, ils négligent les aspects sécurité dans les phases de conception et menacent ainsi l’ensemble de l’écosystème actuel.
Ce sont autant de défis et de questions auxquels les entreprises, industriels et régulateurs doivent apporter des réponses, des règles pour éviter de reproduire les erreurs du passé.
La priorité est de concevoir ou d’adopter des solutions capables de protéger les infrastructures, équipements, business, et plus particulièrement les utilisateurs et leurs données récoltées.
DYN* est une société de service et de gestion d’Internet, offrant des produits pour surveiller, contrôler et optimiser l’infrastructure en ligne, ainsi que des services d’enregistrement de domaine et des produits de messagerie. La société a été acquise par Oracle Corporation en 2016.
Hicham Benjelloun, Consultant mc2i Groupe
