L’évolution de l’IdO à la «insécurité des choses »

0

Dans l’enthousiasme lié à l’Internet des objets, il apparaît que les fabricants n’ont pas fait beaucoup attention à la sécurité en effet ces technologies ne sont pas souvent protégées contre les cyberattaques. Dans ce sens, Internet des objets est devenu Internet des menaces… un acronyme que illustre l’avance imparable des objets connectés et les risques qui viennent avec eux.

Seulement en France 10 millions d’attaques informatiques ont été enregistrées en 2015. En plus, l’Hexagone vit une hausse des ransomwares, qui ont fait leur apparition plus de 391 000 fois en 2015, soit 2,6 fois plus qu’en 2014. C’est pour cela que la France a fait son retour dans le top 10 des pays où la cybercriminalité est la plus active, en neuvième position, selon le rapport annuel de la société américaine de sécurité informatique Symantec.

Le marché mondial des solutions internet of things (IoT) s’élèvera à 7 100 Md$ d’ici 2020. La croissance des dépenses IoT est 3 fois plus rapide que sur les marchés TIC classiques et tous les domaines sont concernés : 420 millions de voitures connectées pourraient circuler sur les routes mondiales d’ici deux ans ; 19 millions de vêtements connectés devraient être portés et 1,8 milliard de compteurs d’énergie intelligents seront déployés dans le monde. Machina Research, qui réalise chaque année dix prédictions dans ce domaine, annonce un marché du bâtiment intelligent en 2022. Les objets connectés ne se limitent donc pas aux frigos intelligents à destination des particuliers ou au domaine de la santé. Donc, 36 millions de professionnels de l’informatique travailleront bientôt dans le monde grâce à la croissance de l’IoT.

Gartner estime qu’il y aura environ 20 billions de dispositifs connectés à Internet en 2020 et que, cette même année, en 2016, on aura 6,4 milliards des objets IdO. La tendance de l’Internet des objets est imparable, il n’y a pas de doute. Et ce qui sans doute aussi (et ici tous les experts sont d’accord) est que cela implique de grands défis dans la cybersécurité. Le problème est que tous ces nouveaux appareils ne sont pas conçus pour leur sécurité, sinon seulement pour leur fonctionnalité et cela ne suffit pas à une époque où les attaques cybernétiques sont à l’ordre du jour.

Précisément les objets IdO peuvent être l’objet de cybercriminels, car ils contiennent beaucoup de données, et très peu de sécurité. Par exemple, ils peuvent être utilisés pour lancer des attaques massives DDoS, ou, pourquoi ne pas être utilisés comme une plate-forme pour lancer de nouvelles attaques de ransomware, par exemple. Beaucoup de récompenses avec peu d’effort.

La firme de sécurité Symantec a fait un rapport sur l’insécurité dans l’Internet des objets dans lequel ils ont analysé 50 appareils spécialement crées pour la maison intelligente. L’étude a révélé que beaucoup d’entre eux ne disposaient pas de la protection nécessaire de base et a souligné qu’aucun des dispositifs n’utilisait authentification, donc nécessité e mot de passe complexe, pour que les cybercriminels ne bénéficient de ce manque de protection pour faire des attaques par la technique de force brute. Mais ce ne sont pas seulement les objets qui sont dangereux, les applications mobiles dont ils ont besoin aussi : 20% des applications mobiles ne contrôlent pas l’envoi des données.

inseguridad-de-las-cosas

Dans le même ordre d’idées, une autre étude récente de HP a mis en évidence que 80% des appareils IdO ont échoué au moment d’exiger des mots de passe assez complexes, et 70% d’entre eux ne cryptent pas les communications. TechCrunch fait écho à une autre étude menée par l’Université de Yokohama dans laquelle les chercheurs ont créé un honey pot spécialement conçu pour IdO, qu’ils ont appelé IoTPOT. Qu’ont-ils trouvé? Qu’il y avait des vulnérabilités basées sur Telnet dans des dispositifs IdO dès 2014 par lequel toutes les données sont diffusées en clair. Le problème est que de nombreux appareils scientifiques et industriels utilisent Telnet comme la seule option de communication, donc, ils sont vendus. TechCrunch a rapporté des déclarations du responsable d’entreprise, qu’assure il est plus facile de changer un accès à distance datant d’une trentaine d’années que de nos jours. Mais les infections massives montrent que de nombreux fabricants ne sont pas vraiment inquiets, ou ne savent pas comment sécuriser leurs produits.

IoTPOT: outil de sécurité informatique utilisé comme un piège destiné à être la cible de cyber-attaques, 
pour analyser et d'obtenir des informations de l'attaque et sur les attaquants.

Telnet est un réseau de télécommunications, un protocole réseau qui permet d'accéder à un autre 
ordinateur pour gérer à distance.

D’autre part, récemment, le Groupe S2 a publié une étude dans laquelle ils analysent les implications de sécurité que peuvent avoir les voitures connectées, et les vecteurs d’attaque possibles. La conclusion était malheureusement similaire: les fabricants n’ont pas été préoccupés par la sécurité de la conception et de la fabrication d’automobiles, et l’utilisateur n’en connaît pas les risques donc il ne va pas exiger des mesures de sécurité, commence alors un cercle vicieux difficile à résoudre.

Il est clair que le scénario de l’Internet des objets n’est pas simple, et qu’il y a un marché qui se développe à pas de géant et très complexe. Mais il est encore temps (pour les fabricants qui se lancent dans l’IdO) de résoudre et mettre en œuvre des mesures de sécurité appropriées. Les fabricants et fournisseurs commencent à intégrer des paramètres de sécurité directement au cœur de leurs technologies IoT, mais pour le moment c’est à l’utilisateur de se protéger contre les cyberattaques.

Voici quelques recommandations en ce sens:

  • Vérifiez que les données sont protégées globalement : contrôlez la sécurité des terminaux, la sécurité du réseau, la gestion des identités et des accès, etc.
  • Réalisez un état des lieux en amont de l’installation d’un appareil pour bien comprendre son impact sur le trafic réseau. Organisez un audit pour obtenir une vision globale des dispositifs qui ont accès au système. Réalisez une nouvelle analyse des performances du réseau après avoir installé l’appareil IoT et identifiez systématiquement les changements qui se produisent.
  • Adoptez une politique « zéro confiance » vis-à-vis des dispositifs IoT. Il faut les séparer sur un segment du réseau ou un VLAN de telle sorte qu’ils ne puissent pas accéder ni interférer avec des données stratégiques habituelles.

L’IoT est l’une des innovations de ces dernières années qui offre le plus d’opportunités aux entreprises mais ils doivent organiser leur migration vers une infrastructure connectée moderne et efficace dans la sécurité pour ne pas mettre en danger tous ses données. Evitez donc simplement que le dernier achat de votre entreprise en matière d’IoT vous coûte très cher.

inseguridad-iot

About Author

Monica Valle

Journaliste spécialisée en technologie et cybersécurité. Directrice de Globb Security et présentatrice du programme sur sécurité informatique et technologie Mundo Hacker. Twitter: @monivalle.

Leave A Reply