Sécurité de l’Internet des objets

Sécurité de l’Internet des objets

Faible protection de l’Internet des objets


La sécurité des appareils connectés n’est pas optimale. Certains ne sont pas protégés du tout. Pour que cela change, les développeurs doivent intégrer la sécurité à la conception des produits. Et les utilisateurs doivent exiger des solutions IoT sûres.


Texte: Urs Binder,




La rumeur selon laquelle, en Angleterre, des milliers de grille-pains connectés à l’Internet, hackés, se seraient mis à n’accepter que des tranches de pain complet et à avertir leur propriétaire des risques de santé liés au pain blanc, n’était en réalité qu’un poisson d’avril du spécialiste de la sécurité Bitdefender. D’autres incidents liés à l’Internet des objets (Internet of Things ou IoT) n’ont pourtant rien d’une plaisanterie – et ils sont éloquents, comme l’indique le titre du livre blanc de Gartner «Musings from Def Con 23»: «Les risques de l’Internet des objets sont graves, et ils ne cessent d’empirer». Quatre exemples:

 

  • En Allemagne, des hackers ont réussi, par spear phishing et ingénierie sociale – c’est-à-dire en exploitant les faiblesses humaines du personnel – à accéder au réseau interne d’une aciérie, et de là, aux installations de production, a rapporté l’Office fédéral allemand de la sécurité des technologies de l’information en 2014. Les agresseurs ont été capables de paralyser divers éléments de commande et installations. La conséquence: un haut fourneau, devenu impossible à éteindre correctement, est resté bloqué dans un état indéfini. L’installation a subi des dommages considérables.

  • Chez le détaillant américain Target, des hackers ont infiltré à distance le système d’automatisation des bâtiments, réussissant à installer un code malveillant sur les terminaux de paiement par carte de crédit des 1800 supermarchés de la chaîne. Les agresseurs ont ainsi volé les données des cartes de crédit de 40 millions de clients. Selon Target, le coût des dédommagements s’élève à 290 millions de dollars, sans parler des dégâts en terme d’image.

  • Un vendredi après-midi de la fin novembre 2016, les distributeurs de billets de l’entreprise de transport de San Francisco SF Muni affichèrent «You Hacked, ALL Data Encrypted». SF Muni s’est vu forcé de laisser ouvertes les barrières d’accès aux quais, ce qui a eu pour conséquence un jour et demi de transports publics gratuits. Il ne s’agissait même pas d’une attaque ciblée, a fait remarquer par la suite le hacker «Cryptom27»: le réseau de SF Muni était totalement ouvert.

  • Fin octobre 2016, une importante attaque par déni de service contre le fournisseur de services Dyn a paralysé de nombreux sites Internet connus, dont Twitter, Amazon, Spotify et Netflix. Le responsable était apparemment un réseau de machines zombies constitué d’appareils connectés. Le chercheur en sécurité Brian Krebs, dont le blog a également été touché, parle de caméras IP et de magnétoscopes connectés.

Menace réelle et manque de confiance

La menace provenant de l’Internet des objets est réelle. Elle l’est d’autant plus que le nombre d’objets connectés explose littéralement. Gartner prévoit actuellement un total de 6,4 milliards d’appareils connectés dans le monde pour fin 2016, soit une croissance de 30% par rapport à 2015. Leur nombre devrait monter à 21 milliards d’ici fin 2020. Selon Gartner, environ 65% des appareils connectés sont utilisés pour des applications grand public comme la domotique, et 35% pour des applications industrielles.





Comment rendre l’Internet des objets sûr


Recommandations et astuces pour les utilisateurs et développeurs de solutions IoT.


Vers Listical



Comment rendre l’Internet des objets sûr

Recommandations et astuces pour les utilisateurs et développeurs de solutions IoT.


Vers Listical

HP a examiné la vulnérabilité aux problèmes de sécurité de dix appareils de domotique, tels que des thermostats de chauffage, des serrures ou des détecteurs de fumée, et est parvenu à une conclusion inquiétante: au total, les dix appareils présentaient 250 points faibles, soit 25 par appareil. Il n’est donc pas étonnant que selon une étude réalisée par le Ponemon Institute, également pour le compte de HP, moins de la moitié des consommateurs estiment que l’Internet des objets présente plus d’avantages que d’inconvénients. La raison: les inquiétudes liées à la sécurité et au respect de la vie privée. Mais les consommateurs ne sont pas les seuls à ne pas trouver que des avantages à l’Internet des objets. Les entreprises aussi. Selon une enquête du fournisseur américain AT&T, 58% des organisations interrogées n’ont pas confiance en la sécurité de leurs appareils connectés.


Les faiblesses des solutions IoT

En pratique, on constate qu’une grande partie des appareils connectés ne comportent absolument aucune mesure de sécurité. Une des raisons de cet état de fait est peut-être historique: à l’origine, les systèmes intégrés utilisés dans l’industrie n’étaient pas interconnectés, ou alors au sein du réseau d’une entreprise et donc séparés de l’Internet. Les appareils grand public sont, aujourd’hui encore, souvent basés sur des plateformes sans sécurité intrinsèque, et les solutions élaborées sur cette base – dont les logiciels et les cloud services – ne sont pas systématiquement conçues pour assurer la sécurité des données et la protection contre les attaques.


Sur certains appareils, il est ainsi impossible de mettre à jour le logiciel embarqué. Dans de tels cas, la gestion des patches reste un concept inconnu. C’est d’autant plus grave que la durée de vie des solutions IoT – jusqu’à dix ans et plus – est nettement plus grande que celle des ordinateurs et des appareils mobiles, aussi bien pour les produits grand public que ceux de l’industrie 4.0.


La communication des capteurs et des actionneurs avec les hubs, passerelles et cloud services est habituellement sécurisée, même dans le cas des protocoles sans fil tels que Zigbee, LoRaWAN, Bluetooth ou WLAN. Les clés statiques fréquemment utilisées sont cependant relativement faciles à obtenir. Et la proportion d’utilisateurs qui conservent les réglages par défaut des mots de passe et autres fonctions de sécurité est effrayante.


C’est pourquoi il est important que la sécurité devienne une évidence, non seulement pour les protocoles de transmission des données, mais aussi à tous les niveaux. Mais pour assurer la sécurité end-to-end des systèmes IoT, il manque jusqu’à présent des standards de sécurité homogènes. Contrairement à d’autres branches, comme le secteur bancaire, médical ou automobile, le marché IoT n’est pas régulé – une base trop fragile pour développer des solutions fiables.


La sécurité IoT progresse

Diverses organisations travaillent néanmoins à l’élaboration de cadres et de bonnes pratiques pour garantir la sécurité IoT, dont la IoT Security Foundation et la fondation à but non lucratif OWASP dans le cadre du «Internet of Things Project». Et les fournisseurs cloud offrent de plus en plus des plateformes pour la communication sécurisée entre appareils connectés et services cloud présentant des caractéristiques spécialement conçues pour l’Internet des objets.


Ces standards et ces plateformes doivent pouvoir faire face à un large éventail de cyberattaques. La sécurité IoT doit identifier et parer les attaques, consigner les tentatives d’accès non-autorisées, protéger les données à la fois lors de la transmission, de la sauvegarde et du traitement, et, par un redémarrage sécurisé des appareils, empêcher le chargement de firmware falsifié.


Cela n’est possible que par une combinaison de mesures de sécurité à tous les niveaux allant de l’authentification et la communication des données à la détection/prévention des intrusions en passant par la gestion des règles de sécurité. Dans l’idéal, cela doit être pris en charge par le hardware des appareils connectés. Les processeurs et les plateformes SoC modernes proposent une prise en charge hardware qui offre une sécurité supplémentaire et aide les développeurs de solutions IoT à améliorer la sécurité de leurs produits.




En savoir plus sur ce thème


Machine to Machine

Nouveaux modèles commerciaux et plus grande efficacité grâce au M2M: avec l’Internet des objets, tout communique avec tout – utilisez les nouvelles possibilités d’un monde en réseau.