Smart building : l’exploitation de protocoles non cryptés sabote les dispositifs IoT

Sécurité
avis-experts-ibm-secure-by-design

Avec l’augmentation rapide du nombre de dispositifs IoT (Internet of Things) dans la vie courante, personnelle et professionnelle, de nouveaux défis en matière de cybersécurité émergent.

Car ces dispositifs proviennent d’une multitude de fournisseurs et utilisent des systèmes d’exploitation non standardisés. S’ils supportent une diversité de protocoles de sécurité, souvent non cryptés, et peuvent se connecter dynamiquement à d’autres appareils à l’intérieur ou à l’extérieur d’un réseau, ils demeurent pour autant non gérés et vulnérables, à la portée d’acteurs malveillants.

La tendance est au tout connecté au point que même nos habitats intègrent aujourd’hui une part grandissante d’IoT. Les bâtiments intelligents (smart building), pour les nommer, illustrent parfaitement le scénario où les technologies de l’information (IT) et les technologies opérationnelles (OT) convergent et dans lequel les dispositifs IoT prolifèrent. Ils sont les témoins de la communication de ces dispositifs entre eux. Que ce soit pour partager des données inhérentes à la température des locaux ou à la présence d’individus par exemple, ou pour échanger des commandes comme le réglage de l’éclairage.

A l’ère de l’IoT, les capteurs, les déclencheurs, les contrôleurs et de nombreux dispositifs complets tels que l’éclairage et les caméras de surveillance sont devenus beaucoup moins chers et beaucoup plus faciles à installer. Ils offrent également un atout supplémentaire en matière de gestion à distance via des connexions filaires ou sans fil.

S’ils constituent une avancée dans notre quotidien, ces dispositifs connectés sont souvent dépourvus de sécurité. Ce qui explique en partie que des vulnérabilités y soient de plus en plus fréquemment découvertes. Tout ne demeure pas à la charge des constructeurs IoT.

De mauvaises pratiques en matière de sécurité (codes d’identification par défaut ou simples), un trafic non crypté et un manque de segmentation du réseau restent des défauts courants imputables à la gestion humaine. À mesure que l’échelle et la diversité des dispositifs IoT augmentent, la cybersécurité devient, elle, un point central majeur en tout lieu.

Pour mieux comprendre les enjeux de la cybersécurité inhérents aux dispositifs IoT, attardons-nous sur un cas concret : les caméras de surveillance de dernière génération. Elles sont livrées avec des protocoles faibles tels que Telnet, FTP ou SSDP activés par défaut qui utilisent souvent le protocole de communication informatique temps réel non crypté (RTP) et le protocole de streaming temps réel (RTSP) pour générer les flux vidéo. Elles sont généralement installées, configurées et déployées par un personnel qui n’est pas expert en cybersécurité. Si ce risque d’intrusion et de sabotage par la connectivité d’une caméra était encore acceptable il y a quelques années, il est désormais devenu critique pour l’activité et la pérennité d’une entreprise.

Ces dispositifs IoT sont de plus en plus utilisés par les hackers pour pénétrer les systèmes informatiques d’une entreprise. La pratique la plus courante consiste à utiliser des protocoles non cryptés pour le streaming vidéo et à remplacer les séquences temps réel d’une caméra par du contenu pré-enregistré.

Lorsque des protocoles non cryptés sont exploités dans des systèmes cyber physiques, ce ne sont pas seulement des informations qui sont échangées. Ce sont également des portes d’entrée qui ouvrent la voie à la vulnérabilité du monde physique. Imaginez les dommages possibles d’une telle intrusion au sein du système d’un aéroport ou d’un hôpital.

La compromission de dispositif physique constitue la première étape d’une intrusion physique. Si de telles attaques se déroulent en plusieurs étapes, attardons-nous sur la manière de réduire le risque d’une telle attaque. Il existe des alternatives à la sécurisation des sessions RTP/RTSP, telles que l’utilisation de SRTP ou RTP sur la sécurité de la couche transport (TLS).

Malheureusement, ces alternatives sécurisées ne sont pas toujours disponibles dans les périphériques IoT, voire presque jamais configurées par défaut et ne sont souvent pas activées par les utilisateurs finaux, qui n’ont généralement pas les connaissances requises pour sécuriser les sessions RTP à l’origine. Dans une situation similaire, il existe des alternatives sécurisées à HTTP, FTP et Telnet, bien que ces protocoles soient encore largement utilisés dans les appareils IoT.

Le diagnostic de la sécurité des dispositifs IoT, dont les caméras de vidéosurveillance, est posé : les anciennes solutions de sécurité ne suffisent plus à sécuriser les réseaux d’aujourd’hui car elles ne sont pas prises en charge par des dispositifs intégrés ou sont incapables de comprendre le trafic réseau généré par ces dispositifs. De nouvelles solutions sont plus que nécessaires !

Pour parvenir à protéger à la fois les données, les infrastructures IT et les personnes, les équipes de sécurité doivent disposer d’une visibilité complète et d’un contrôle accru sur toutes les ressources du réseau. Compte tenu du volume et de la diversité des dispositifs, l’automatisation de la visibilité apparaît comme l’alternative la plus efficiente. La notion d’intelligence du bâtiment prendrait alors tout son sens.

Imaginez pouvoir détecter tout nouvel appareil connecté au réseau, toute intrusion système, toute communication anormale, etc. comme par magie et ainsi limiter le risque d’attaque pour un cadre de vie plus sûr. Intéressant, non ?


Auteur
En savoir plus 
directeur régional France et Luxembourg
Forescout
Julien Tarnowski est directeur régional France et Luxembourg Forescout
En savoir plus 

Livres blancs A la Une