Les dangers de l’internet des choses (IoT) et nos recommandations

Les dangers de l’internet des choses (IoT) et nos recommandations

L’internet des choses (Internet of Things - IoT) et les appareils connectés ou « Smart devices » sont essentiellement des appareils que nous utilisons couramment, dans lesquels un ordinateur et une connexion internet ont été rajoutés.


Un frigo intelligent est en fait un ordinateur qui peut refroidir, une ampoule intelligente n’est rien d’autre qu’un ordinateur qui peut s’illuminer, etc. Vu que ces appareils intelligents sont tous des ordinateurs, ils devraient être traités et protégés comme tels. Malheureusement, c’est de loin d'être le cas.


Nous allons dans cet article vous présenter des exemples d‘incidents réels, regarder ce qui rend ces appareils problématiques pour la cyber-sécurité et vous proposer nos recommandations.

Tout comme la révolution causée par la transition de la téléphonie mobile vers les smartphones, nous assistons aujourd’hui à un nouveau bouleversement ; tous les appareils que nous utilisons quotidiennement se transforment pour nous offrir des versions plus « intelligentes » : des machines à café connectées, des lits connectés, des maisons connectées ou encore des aspirateurs connectés. Il est évident qu’un monde connecté, capable de nous assister, correspond à l'évolution naturelle de la technologie. Nous pouvons imaginer que notre lit adapte automatiquement sa température en fonction de l’heure et de notre sommeil ; que notre machine à café se réchauffe lorsqu'on se lève ; que les lumières s’éteignent et l'aspirateur s’active lorsque nous quittons la maison. Toutes ces technologies existent déjà aujourd’hui et sont disponibles sur le marché.


Malheureusement, ces appareils ont potentiellement de nombreux problèmes et dangers que l’on ne peut pas ignorer ; voici trois exemples d’objets connectés qui ont directement été utilisés pour mener une cyber attaque.


Un "smart-aquarium" connecté à Internet dans un casino nord-américain, a récemment été utilisé pour exfiltrer des données du réseau de l’établissement. Cet aquarium, relié au réseau interne du casino, se connectait en direct (VPN) vers l’extérieur du bâtiment. En s’infiltrant dans le système de l’aquarium, des hackeurs ont pu découvrir des vulnérabilités dans l’infrastructure du casino pour ensuite les exploiter et en extraire plus de 10 GB de données.


Une université aux États-Unis a été complètement déconnectée d’internet lorsque des pirates informatiques ont exploité plus de 5'000 de leurs "Smart devices", tels que des ampoules et des distributeurs automatiques, pour mener des attaques en ligne. Bien que le réseau d’IoT était isolé du réseau du campus, une petite faute dans la configuration a fait tomber les serveurs DNS de l’université et a de ce fait empêché toute connexion internet.


Une machine a café connectée a été la porte ouverte vers une infection par ransomware dans une usine de production chimique en Europe. Pour des raisons de sécurité, toute leur infrastructure critique, qui gère leur système industriel, n’est pas connectée à internet. Toutefois, lorsqu’un employé a installé une machine à café intelligente dans le bureau de l’usine, il l’a initialement connectée au réseau local pour lui donner accès à internet, ce qui a été en vain car le réseau isolé n’était pas connecté à internet. Il l’a ensuite connecté au wifi public de la manufacture, mais sans le déconnecter du réseau local. Il semblerait que les machines à café soient gérées à distance et que la compagnie qui les gère ait été infectée par un ransomware, qui s’est ensuite propagé à toutes les machines à café ainsi qu’à tous les ordinateurs sur le même réseau.


Les appareils d’IoT peuvent être utilisés comme un pivot pour pénétrer une infrastructure, comme botnet pour mener des attaques sur des tiers, ou comme cible directe. Les hackeurs les considèrent aujourd'hui comme cible de choix, car ils sont généralement invisibles dans l'infrastructure, n’ont aucune protection et sont très vulnérables. Nous allons vous exposer ci-dessous un nombre de leurs problèmes :

Temps de mise sur le marché accéléré

Les objets connectés se doivent d’être innovants et compétitifs. Les manufactures n’ont que très peu de temps entre la conception d’un produit et sa distribution ; elles doivent donc minimiser les coûts et le temps de production en priorisant sur les éléments vendeur du produit tels que le design, les fonctionnalités, le prix et le marketing. Les éléments de sécurité apparaissent parfois dans la liste des priorités, toutefois une cyber-sécurité efficace est compliquée et requiert un travail méticuleux. L’indication que l’appareil utilise AES 256 ou des standards militaires ne donne aucune preuve de sa réelle sécurité, car il suffit parfois d’un maillon défectueux ou pas compatible dans la chaîne de sécurité pour que la faille apparaisse.

En début d’année, D-Link a été poursuivi par le FTC aux États-Unis pour avoir mis mensongèrement sur les boîtes de leurs routeurs et caméras IP que leurs appareils étaient sécurisés et protégés, bien qu'ils ne l'étaient pas réellement.

Utilisation d’éléments vulnérables

Les entreprises qui souhaitent produire des objets connectés achètent habituellement des SoC (System on Chip) et des senseurs disponibles sur le marché, afin de les intégrer à leurs produits. Ces éléments sont fournis avec de la documentation, des modèles de configuration et un paramétrage par défaut.

Or, nombreuses entreprises n’ont pas d’expertise dans les éléments SoC acquis. Souvent, les appareils IoT sont donc mis sur le marché avec un template d’exemple ou une configuration par défaut ; pourtant, ces configurations sont rarement conçues pour être déployés en production et ne sont pas sécurisés.

La plus grande attaque DDos de l’histoire a eu lieu lorsque des centaines de milliers de caméras de surveillances, toutes avec la même configuration non sécurisée (mots des passe codés en dur, port SSH ouvert, etc.), ont été piratées pour créer le botnet Mirai.

Absence de mises à jour

Un des éléments les plus importants dans la cyber-sécurité est le déploiement des mises à jour sur les systèmes. Tous les jours, des nouvelles vulnérabilités sont détectées : en 2016, plus de 200 vulnérabilités ont été découvertes rien que dans le noyau de Linux, qui est communément utilisé dans les IoT. Dès qu’une vulnérabilité est rendue publique, les pirates essayent très rapidement de l’exploiter (comme nous l’avons vu avec le malware Wanncry et la vulnérabilité EternalBlue). Nous constatons que malheureusement très peu de constructeurs d’IoT gèrent correctement la mise à jour de leurs appareils et, même lorsqu’ils le font, ce n’est que pendant quelques années. Il est évident que déployer des mises à jour sur des appareils connectés est très compliqué ; cela nécessite de l’argent, des ressources, de nombreux tests et risque d’affecter le fonctionnement du produit. Par exemple, toute une série de serrures intelligentes fabriquées par une société américaine sont restées bloquées verrouillées après une mise à jour défectueuse. En sachant que la durée de vie moyenne d’un frigo est de 10 ans, lors de l’acquisition d’un frigo intelligent il faudrait donc s’assurer que, 10 ans plus tard, des mises à jour soient toujours disponibles.

Aucun outil tiers de protection

Bien que les objets connectés soient des outils informatiques, ils n’ont actuellement pas accès aux mêmes solutions de sécurité que nous trouvons pour les ordinateurs. Un ordinateur n’est pas correctement protégé dès sa sortie d’emballage : il faut en tout cas installer un antivirus, activer un firewall, configurer un HIPS, mettre des mots de passe et déployer un backup. Il n’y a actuellement que très peu d’options existantes pour correctement protéger les objets connectés, et ces solutions sont chères, compliquées à déployer et disponibles que pour des grandes infrastructures.

Alors, que pouvons-nous faire ?

Soyez attentifs lors de l’achat d’un produit

Quelle est la réputation du fabriquant ?

Un appareil d’une marque reconnue, telle que Google, a plus de chance d’être correctement sécurisé qu’un appareil sans marque, produit dans un pays émergent.

Quelles sont les conditions et garanties de services ?

Vérifiez le nombre d’années durant lesquelles vous bénéficiez des mises à jours : les appareils iOS sont habituellement supportés et mis à jour pendant une cinquantaine de mois, tandis que les appareils Android (Nexus) ne le sont que pour une vingtaine.

Comment ont réagi les producteurs lorsque des vulnérabilités ont été découvertes ?

Il est inévitable qu’un produit ait des vulnérabilités, mais les compagnies productrices se doivent de les gérer efficacement en déployant automatiquement des mises à jour sur tous les appareils concernés. Ce point est difficile à estimer, car même des grandes marques comme Nest ont négligé de mettre à jour leurs appareils bien après avoir été avisé de vulnérabilités existantes.

Soyez attentifs aux accès que peut avoir un appareil

Est-ce que mon appareil IoT à accès à un compte en ligne ?

Tout appareil connecté est susceptible d’être piraté et de donner ainsi accès aux comptes auxquels il se connecte. Un appareil photo intelligent, publiant ses clichés automatiquement sur votre compte Facebook, pourrait permettre à un pirate d’accéder à votre compte sans que vous ne le remarquiez.

Est-ce que mon appareil IoT est sur un réseau isolé ?

Lorsqu’un hacker pirate un appareil, il va immédiatement tenter de pivoter pour prendre possession d’un autre avec plus de valeur ; il est donc impératif d’isoler au maximum les appareils potentiellement plus vulnérables (IoT) de ceux qui sont plus sensibles (ordinateurs, serveurs, etc.). Nous pouvons noter que, par exemple, un hackeur peut actuellement pénétrer dans une télévision Samsung afin d’attaquer d’autres appareils sur le même réseau.

Soyez attentifs à la configuration

Quelles sont les configurations par défaut ?

Les configurations par défaut d’un appareil sont rarement les plus sécurisées, mais généralement les plus commodes et avantageuses pour les constructeurs. Il est donc nécessaire de revoir tous les paramètres afin de les mettre en adéquation avec la politique de sécurité que l’on veut adopter. Est-ce que l’appareil peut partager ma géolocalisation avec le constructeur ? Est-ce qu’il a le droit d’envoyer ma liste de contacts à des compagnies tierces ? Est-ce qu’il peut être accessible depuis le cloud ? Comment et avec quoi peut-il communiquer ?

Quel est le mot de passe ?

Si vous pouvez vous connecter à un appareil grâce à un mot de passe, alors un pirate le peut aussi. C’est pour cela qu’il faut toujours choisir un long mot de passe unique, afin de vous assurer que vous seul puissiez l’utiliser.

Pour conclure

Les appareils IoT sont des ordinateurs qui n’ont pas le luxe d’avoir les mêmes outils de sécurité et la même attention lors de leur développement que nos ordinateurs, ni un support et une maintenance qui correspondent à leur durée de vie, bien que ces facteurs soient impératifs. Actuellement, les constructeurs n’ont pas la motivation nécessaire pour régler les problèmes décrits ci-dessus.

La solution pourrait être dans la mise en place de régulations, de normes, de labels de qualité et de certifications.

Dans l’industrie médicale ou automobile, il est de nos jours impossible de distribuer des produits qui n’ont pas été scrupuleusement vérifiés, et les amendes sont lourdes en cas d’abus. Pour les denrées alimentaires, il y a des labels tels que Bio, qui coûtent certes plus cher, mais garantissent une certaine procédure de production.

La société occidentale prône un internet libre avec un minimum de contrôle gouvernemental. Cependant, une régulation des IoT devra être mise en place dans le futur. Qu’elle soit instaurée par les gouvernements suite à une attaque de large ampleur, ou par des démarches des individus et de l’industrie suite à une demande globale de vérification, cette régulation permettra le développement et la vulgarisation des appareils connectés en protégeant les consommateurs.

ZENData propose des solutions pour les entreprises qui ont des IoT déployés afin de pouvoir découvrir, monitorer, gérer et isoler ces appareils. N’hésitez pas à nous contacter pour plus d’informations.

Tweets de ZENData

RT @GossiTheDog: Brexit is what happens when you approve a change request to move your firewall management in house instead of renewing mgm…
13hreplyretweetfavorite
RT @GovCERT_CH: Lettre d'information : Le cheval de Troie Emotet cible les réseaux d'entreprises https://t.co/5YNL6uMdXJ https://t.co/OYn6B
13hreplyretweetfavorite
RT @rickhholland: ".@Dell Announces Potential Cybersecurity Incident" https://t.co/L5CyBcn6if "On November 9, 2018, Dell detected & disrupt…
RT @SecurityWeek: Lenovo Pays $7.3 Million to Settle Superfish Adware Lawsuit - https://t.co/nuUI8S56JL
RT @skoops: The @netatmo servers are down and twitter is already full of freezing people not able to control their heating :D (via [protect…

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: www.bilan.ch/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

7+10=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.