Cybersécurité : quand l’IOT vient tout révolutionner

0

L’Internet des objets (ou IoT – pour Internet Of Things en anglais) a connu un développement rapide ces dernières années, à tel point qu’il est considéré aujourd’hui comme une véritable tendance, voire même comme une grande révolution.

Si ses prémices n’ont été que positivisme et vision de progrès, un constat est à faire aujourd’hui : tout n’est plus si rose dans le monde des objets connectés. En effet, avec un nombre d’appareils connectés estimé à 6 à 20 milliards d’ici 2020 selon différentes sources, la probabilité d’actes cyber-malveillants, et ce de façon massive, a augmenté de façon exponentielle.

Cette inquiétude concernant la sécurité informatique de ces objets est d’autant plus fondamentale et importante aujourd’hui, puisque son enjeu économique est considérable et que son développement intéresse tous les secteurs d’activité : grand public, loisirs, santé, industrie… et semble désormais faire partie intégrante de notre vie quotidienne et de notre vie future.

Nous le verrons au fil de cet article, l’aspect sécurité de ces objets est aussi mis en avant de par le nombre de failles et vulnérabilités en tous genres dont ils font l’objet. Mal conçus, utilisés sans précautions et bonnes pratiques de sécurité, peu protégés par des solutions adaptées, les objets connectés sont aujourd’hui, de par l’accumulation de tous ces éléments, devenus une cible de choix pour les cybercriminels. Mais alors en quoi l’IoT change la donne en matière de sécurité informatique ? Quels dangers risque-t-on aujourd’hui et quels risques rencontrerons-nous demain ? Des solutions existent-elles déjà afin de les sécuriser ?

  • Objets connectés : quels dangers ?

Débutons tout d’abord par un court rappel de ce qu’est un objet connecté : un objet connecté est un objet physique, équipé de capteurs ou d’une puce, qui lui permettent de transcender son usage initial pour proposer de nouveaux services. Ayant une adresse IP qui lui est propre (et c’est là un élément important pour la suite de cet article), il est capable de communiquer avec un ordinateur, un smartphone ou une tablette via un réseau sans fil, qui le relie à Internet ou à un réseau local*. Du frigo, à l’alarme, ou à la montre connectée, ces objets font aujourd’hui partie intégrante de notre quotidien, et ce, comme nous l’avons vu, dans un très grand éventail de domaines.

Si nous précisons que le fait d’avoir une adresse IP est essentiel pour mieux appréhender la sécurité informatique de ces objets, c’est parce que le moindre objet disposant d’un accès IP peut être, par définition, victime d’une cyber-attaque, ou par exemple être utilisé de manière à menacer d’autres infrastructures en tant que botnets, au même titre que nos équipements de type ordinateurs ou smartphones, nous y reviendrons.

Aussi, les informations que ces objets échangent ou émettent via internet peuvent être interceptées ou détournées, souvent à des fins malveillantes. Localisation, petites habitudes du quotidien, credentials : ces informations peuvent parfois sembler presque futiles pour certains, mais sont une vraie mine d’or pour les pirates.

Une vraie problématique de sécurité apparait donc aujourd’hui, car si ces actes malveillants peuvent être, sur certains équipements, témoins d’une mauvaise sécurité informatique, pour les objets connectés ils révèlent surtout une toute autre problématique. Ces objets n’ont, pour la plupart d’entre eux, pas été fabriqués en tenant la sécurité comme priorité et ce dès leur conception.

Les solutions de sécurité dont nous parlerons dans cet article devront donc pallier aux problèmes de sécurité rencontrés par des équipements « basiques » ,  mais aussi à ce problème de conception.

Enfin, il reste une dernière précision importante à mentionner : si cette problématique de sécurité est souvent vue dans un angle des objets connectés dits « grand public », ce problème de cyber malveillance ne touche pas que les particuliers, aujourd’hui il s’adresse aussi aux entreprises.

En effet, si les objets connectés sont encore assez peu présents dans la sphère professionnelle (à l’exception du secteur de la Santé), nul doute que cela évoluera rapidement et qu’ils prendront peu à peu une place importante au sein de nos organisations. Il faudra alors que les responsables de la sécurité de ces structures puissent faire face à ce nouveau défi, en alliant sensibilisation et solutions logicielles, d’autant plus que des attaques de grande ampleur commencent à faire la une de l’actualité, ayant de graves conséquences pour les structures touchées.

  • Des attaques à l’ampleur inédite :

En effet, la cyber-menace pesant sur le monde des objets connectés s’est concrétisé en août 2016, lorsque des pirates ont créé un logiciel malveillant appelé Mirai.

Les pirates à l’origine de Mirai ont premièrement passé au crible le web dans le but d’infiltrer des objets connectés vulnérables, de par un mot de passe dit « faible », ayant conservé leurs paramètres par défaut. Une fois ces appareils infiltrés (nous parlons ici de millions d’entre eux), ceux-ci devenaient de vraies armes zombies-complices à la merci des pirates. Grâce à cette armée d’objets « zombies », les pirates n’avaient plus qu’à lancer une attaque par « déni de service » ou DDos, consistant à saturer les sites par des millions de requêtes simultanées, pour mettre les serveurs informatiques hors d’état.

Seulement deux mois plus tard, le même logiciel malveillant était utilisé contre Dyn, un fournisseur de systèmes de noms de domaine gérés de services Internet pour Twitter, Reddit, CNN, Spotify et des milliers d’autres sites Web. Si la France a été peu touchée, toute une partie des Etats-Unis s’est retrouvée privée de ces poids lourds d’Internet (environ 500 entreprises) pendant plusieurs heures.

Efficaces et silencieuses, ces attaques ont été menées avec une très grande précision, et ont atteint efficacement leur but avec une ampleur terrible, sans qu’aucun propriétaire de ces objets ne se doutent de quoi que ce soit.

  • Quelles solutions ? Comment protéger mes objets connectés ?

Nous ne le répétons jamais assez, la première des choses, est de tout simplement suivre les bonnes pratiques de sécurité déjà en vigueur pour nos équipements « courants » : une bonne politique de mot de passe, par exemple, pourrait éviter à votre objet connecté de servir de zombie à une nouvelle attaque de type Mirai.

Il est également recommandé de faire régulièrement des mises à jour du “firmware” (système d’exploitation) de son objet connecté. Si cela semble parfois fastidieux, c’est en général le meilleur moyen de le prémunir contre d’éventuelles failles de sécurité.

Idéalement, l’idée serait aussi de mener des audits des systèmes et des configurations, via des tests d’intrusion, ainsi que la gestion et la détection des vulnérabilités.

Enfin, comme nous l’avons évoqué, les objets connectés sont, d’un point de vue technique des machines comme les autres, puisque possédant une IP : des solutions logicielles existent donc déjà afin de les protéger, il est d’ailleurs important sinon essentiel de ce faire.

D’ailleurs, si la grande majorité des solutions de sécurité s’appuient sur l’expérience passée pour vous prémunir de possibles cyberattaques, les nouvelles solutions implémentées d’IA, reposant sur l’apprentissage automatique peuvent ici devenir un vrai « plus » pour la sécurité de vos objets.

En effet, celles-ci permettent de superviser tous vos appareils, où qu’ils se trouvent sur le réseau et d’analyser les comportements normaux de chaque objet et utilisateurs, pour pouvoir non seulement vous prévenir en cas d’anormalité mais aussi de concevoir des schémas d’attaques futures.

C’est d’ailleurs basé sur cette logique, qu’ITrust développe Reveelium, une solution implémentée d’Intelligence Artificielle.

En résumé, si l’Iot et les objets connectés sont aujourd’hui une véritable tendance, les constructeurs à la base de leur conception ratent parfois quelques étapes cruciales en sécurité. Les attaques rencontrées « hier » avec des équipements dits « informatiques » vont, eux aussi, évoluer avec cette tendance, si bien que les équipes de sécurité (et particuliers) devront rester vigilants et s’équiper de solutions adaptées à ces nouveaux équipements.

Mais, nous l’avons vu, si tout n’est pas rose, tout n’est pas noir non plus : si la technologie s’installe sur tous les objets, elle nous fournit également les armes pour les protéger (notamment avec le développement de solutions implémentées d’IA). Aujourd’hui plus que jamais, nous devons donc repenser la cybersécurité et adopter des technologies suffisamment modernes pour être à la hauteur des enjeux qu’emmènent cette « IoT revolution ».

Share.

About Author

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply