“FIC2018”

L’impact de la vulnérabilité Devil’s Ivy est relatif

0

Si l’impact de la vulnérabilité qui concernerait potentiellement une dizaine de millions d’objets connectés, Devil’s Ivy est relatif (elle ne permettrait « que » de voir le flux vidéo ou d’interdire l’accès au flux vidéo des caméras concernées), celle-ci montre néanmoins l’importance du risque qui peut en découler et l’intérêt pour les hackers d’identifier des vulnérabilités similaires. Du fait de l’industrialisation de ces objets et de leur sécurité, une fois une vulnérabilité identifiée, un groupe de hackers peut très rapidement l’utiliser à des fins malveillantes.

L’internet des objets (IoT) leur offre ainsi un effet de levier sans précédent pour constituer très rapidement un BotNet de taille très importante comme dans le cas du BotNet Miraï estimé à une centaine de milliers d’objets infectés. On comprend donc vite « l’intérêt » d’une faille telle que Devil’s Ivy même si l’exécution de code tiers en exploitant cette faille n’a pas encore été démontrée à l’heure où nous écrivons.

Dans le cas de cette vulnérabilité, les objets concernés étant déjà déployés, il va être difficile de mettre en place une action corrective à grande échelle pour combler la vulnérabilité.

Et c’est l’un des principaux défis de l’IoT : comment gérer la réponse aux incidents pour ce type d’équipement ?  L’internet des objets introduit en effet de nouvelles problématiques pour la sécurité et beaucoup d’entre elles mériteraient des analyses approfondies ou une collaboration entre industriels afin de définir une approche optimale à long terme.

La conception et l’implémentation de systèmes IoT vont venir empiler des protocoles, des couches techniques complexes et des programmes qui souffrent parfois de failles de sécurité. On met ainsi le doigt sur le manque de maturité des standards autour de l’internet des objets et d’un cadre de meilleures pratiques à respecter par les développeurs. Chacun se positionne en effet avec ses interfaces, ses plateformes, ses protocoles et – inévitablement – ses vulnérabilités.

Pour parer à cela, Il faudrait commencer par appliquer à l’IoT une approche d’ingénierie basée sur des systèmes sécurisés qui permettrait de simplifier les architectures et de limiter la surface d’attaque. On peut aussi imaginer une sécurité à base de couches de protection afin de sécuriser une infrastructure IoT.

About Author

Vincent Lavergne

Leave A Reply