Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

50 milliards de failles connectées en 2020 ?

février 2018 par Emmanuelle Lamandé

À l’heure de l’informatique ubiquitaire et de la démocratisation des équipements connectés, estimés à plus de 50 milliards en 2020, les risques de cyberattaques se sont démultipliés. Ces objets de notre quotidien, connectés soi-disant pour nous « simplifier » la vie, sont aujourd’hui devenus de véritables espions, capables même de servir la cause de cyberattaques d’envergure. Les botnets Mirai et IoTroop en sont un parfait exemple. Julia Juvigny, Chargée d’études et veilles en cybersécurité, et Thomas Gayet, Directeur du CERT-UBIK - Digital Security, reviennent à l’occasion de la 10ème édition du FIC sur les principaux risques et vulnérabilités de l’IoT, et présentent quelques scénarios d’attaques futures susceptibles de viser cet écosystème.

Selon Gartner, près de 10 milliards d’objets connectés partagent aujourd’hui notre quotidien à travers le monde. Toutefois, nous n’en sommes encore qu’aux prémices, puisqu’en 2020 ce ne sont pas moins de 50 milliards d’objets connectés (soit 8 objets par personne) qui devraient, selon les estimations, envahir nos maisons, comme nos entreprises, quel que soit leur domaine d’activité. D’ailleurs, de plus en plus d’entreprises (20% fin 2017 selon Gartner) disposent désormais d’équipes sécurité dédiées à la protection de leurs activités utilisant les services et équipements IoT. Et nous allons comprendre pourquoi…

IoT : une anatomie complexe et hétérogène…

L’IoT-GSI définit l’Internet des Objets comme « une infrastructure mondiale permettant d’offrir des services évolués en interconnectant des objets physiques ou virtuels grâce à l’interopérabilité des TIC. »
Si l’on dissèque un objet connecté, on retrouve différents équipements matériels et logiciels qui permettent son bon fonctionnement : microcontrôleur, SoC, micro-ordinateur, micrologiciels monolithiques ou hétérogènes, interface de communication vers un réseau de courte ou de longue distance, passerelle de communication... Toutefois, les solutions techniques dédiées à l’IoT restent encore aujourd’hui très hétérogènes. Les OS sont peu ou pas connus : FreeRTOS, RIOT, eCos, Lepton, Contiki, REMS, TinyOS, Brillo (Google), Windows 10 IoT Core (Microsoft)… Les normes de radiofréquence sont, quant à elles, diverses et variées : WiFi, Bluetooth LE, NFC, RFID, SigFox, LoRa, LoRaWAN, ZigBee, Z-Wave, normes propriétaires…

Si l’on veut sécuriser l’IoT, il faut être capable de sécuriser l’ensemble de cette chaîne de valeur. C’est pourquoi les objets connectés représentent un ensemble particulièrement complexe à sécuriser. Sans compter l’incessante course à l’innovation qui anime ce domaine…

Du côté juridique, le cadre qui s’applique actuellement à l’IoT est similaire à celui relatif à la protection des données personnelles, à savoir la Loi Informatique et Libertés du 6 janvier 1978 (article 34), la Loi Godfrain du 5 janvier 1988 et la Directive 95/46/CE du 24 octobre 1995. Cet arsenal sera cependant très prochainement renforcé par la mise en application du RGPD le 25 mai 2018. Outre une obligation de sécurité et de protection des données personnelles, les entreprises auront notamment l’obligation de notifier à leurs clients les compromissions de données dont elles sont victimes. Un projet de Loi (IoT Cybersecurity Improvement Act) est également en cours d’examen aux États-Unis visant à obliger les fournisseurs à vendre des produits de sécurité sans faille exploitable.

… sujette à de multiples vulnérabilités

Le projet est ambitieux, mais pour l’instant il reste encore beaucoup de chemin à parcourir, car en matière d’Internet des Objets les failles de sécurité sont pléthore. Dans le Top 5 des vulnérabilités les plus récurrentes, on retrouve :
 Des mises à jour non sécurisées : l’absence de chiffrement ou de signatures authentifiées rend les objets vulnérables et favorise la fuite de secrets.
 Les clés par défaut : dans le cas de Zigbee par exemple, la clé ZigbeeAlliance09, inscrite dans la documentation, est encore fréquemment utilisée. Digital Security la retrouve d’ailleurs encore dans un objet sur deux analysés dans son laboratoire.
 L’absence de chiffrement des communications : à titre d’exemple, Sigfox n’offre pas de chiffrement nativement. Lora non plus ne propose pas de chiffrement par défaut, contrairement à LoRaWan.
 Le stockage de données non-sécurisé : on peut ainsi retrouver facilement des données de configuration, des données personnelles, mais aussi des clés de chiffrement ou d’authentification globales…
 L’interface de débogage : peut permettre de contourner les protections en lecture, d’extraire du contenu par les registres du microprocesseur…

Un objet connecté est un objet… « déjà » piraté ?

Ces différentes vulnérabilités sont d’ailleurs amplement exploitées aujourd’hui. Les exemples de piratage via des objets connectés ne se comptent plus, et nous n’en sommes qu’au début. Revenons sur quelques cas emblématiques, comme par exemple Shodan.io. Ce moteur de recherche des objets parcourt Internet et enregistre les bannières techniques des services accessibles Toutefois, utilisé de manière malveillante, il permet d’identifier des cibles vulnérables à des failles connues, mais aussi d’avoir accès à tout un tas d’équipements vidéos et micros. Les objets connectés sont d’ailleurs une mine d’or pour l’espionnage, qu’il soit domestique (Smart TV…) ou professionnel (salles de réunions…).

De plus, tous les objets les plus anodins, qui partagent nos quotidiens depuis des lustres, sont aujourd’hui susceptibles d’être piratés, même nos ampoules. En effet, l’analyse du firmware d’une ampoule connectée a révèlé une clé AES commune à l’ensemble des équipements, et la possibilité de pirater le réseau WiFi en cas d’accès physique aux ondes radiofréquence (30 mètres). Les jouets, eux aussi, sont devenus vulnérables et sources d’espionnage potentiel depuis qu’ils sont connectés. Le piratage de V-Tech, qui a permis l’accès à 6,4 millions de comptes d’enfants, dont 1,2 en France, en est la preuve. Mais ce phénomène n’a rien de surprenant quand on voit que la connexion de certains jouets connectés n’est même pas protégée par mot de passe.

La domotique dans son ensemble s’avère désormais une aubaine pour les cybercriminels, qui ont trouvé un nouveau terrain de jeu où tout devient possible. Qui aurait pu penser aux prémices de l’électroménager que des pirates informatiques puissent un jour allumer et éteindre votre cuisinière à distance, ou se servir de votre lave-vaisselle pour compromettre d’autres périphériques…

Beaucoup de ces exemples de piratage d’objets connectés font aujourd’hui plutôt « sourire » de par leur caractère abracadabrantesque, mais ces risques prennent une toute autre dimension lorsque des vies humaines sont en jeu. Quand il s’agit de voitures ou d’appareils médicaux pouvant être contrôlés à distance par des personnes malintentionnées, cela fait tout de suite moins rigoler... On sait depuis plusieurs années maintenant que le contrôle à distance de pacemaker et de pompes à insuline n’est pas un mythe… et des voitures non plus.

Tous ces objets connectés peuvent, de plus, être enrôlés dans un botnet, en vue de commettre des attaques DDoS. Le plus connu à ce jour reste Mirai. Près de 380 000 équipements IoT ont été compromis grâce aux mots de passe par défaut. Depuis Mirai, d’autres malwares IoT sont apparus, comme Brickerbot, Hajime ou IoTroop. Des cas de ransomwares ont également été recensés. Les distributeurs de tickets de métro à San Francisco en ont fait les frais, mais ce ne sont pas les seuls… D’autant que de nouvelles failles de sécurité apparaissent au fil de l’eau. C’est le cas de Blueborne, qui a mis en exergue une importante faille de sécurité dans la fonctionnalité Bluetooth des appareils connectés, qu’ils soient sous Windows, iOS ou Linux. Pour que l’attaque puisse s’exécuter, il suffit juste que le Bluetooth de l’utilisateur soit activé. Blueborne permet notamment le vol de données ou l’espionnage des communications. La faille de sécurité WiFi Protected Acces II permet, quant à elle, d’intercepter le trafic WiFi entre les ordinateurs et les points d’accès.

Smart City, santé, contrôle d’accès : des systèmes en ligne de mire

Concernant l’avenir, les scénarios redoutés sont multiples… d’autant que la plupart d’entre eux se sont déjà réalisés. Les systèmes de contrôle d’accès risquent de faire l’objet de cyberattaques futures. Certaines serrures connectées ont déjà fait l’objet de piratage par le biais de vulnérabilités de l’objet ou du Cloud. Le monde médical ne devrait pas non plus être épargné. Comme on a pu le voir précédemment, les pacemaker et pompes à insuline peuvent être contrôlés à distance. Certains glucomètres connectés ont également été compromis via le protocole Bluetooth Low Energy. Même les brosses à dents sont devenues vulnérables depuis que quelqu’un a eu la brillante idée de les connecter…

Plus dramatique, de par ses conséquences, les villes toutes entières sont devenues vulnérables au moment où elles ont gagné en « intelligence ». Les scénarios en ce domaine sont multiples et ont déjà pour la plupart été démontrés. Le blackout d’une Smart City serait, par exemple, susceptible d’engendrer des pannes en tout genre, des accidents de la circulation, des dysfonctionnements dans les hôpitaux… L’eau potable pourrait, quant à elle, se retrouver contaminée via une cyberattaque ciblant les usines de traitement de l’eau. Une attaque contre des Smart Buildings pourrait, de son côté, fausser les systèmes de monitoring de l’état de santé de bâtiments connectés... Et ce ne sont là que quelques exemples de scénarios possibles, car comme nous avons pu le voir, l’Internet des Objets représente un terreau favorable à la création de nouvelles attaques. Heureusement toutefois qu’il existe des solutions pour renforcer le niveau de sécurité de ces objets connectés.

Quelles réponses possibles pour renforcer la sécurité de l’IoT ?

Tout d’abord, Julia Juvigny et Thomas Gayet recommandent de procéder à des analyses de risques. Effectuer une activité de veille concernant la sécurité de l’Internet des Objets et ses vulnérabilités est également essentielle, afin de se tenir informé en permanence des risques. Certains guides et référentiels commencent, en outre, à voir le jour en la matière. Digital Security accompagne aussi les entreprises dans leurs démarches, via notamment son activité de veille relative à la sécurité IoT, mais aussi de gestion des risques ou d’évaluation du niveau de sécurité de la chaîne IoT.

Pour Julia Juvigny et Thomas Gayet, prendre en compte la sécurité « by design » est, de plus, essentiel, afin de développer un objet qui soit nativement sécurisé. Toutefois, il faut savoir qu’en matière d’IoT, il est difficile de tout chiffrer. Il faut, en effet, s’adapter aux contraintes de l’IoT, à commencer par la miniaturisation et la nécessité d’un Time-to-Market rapide. Selon eux, la labellisation de la sécurité des solutions connectées est également une piste à privilégier. Enfin, outre le fait de penser la sécurité de ces objets connectés « by design », il est fondamental de les maintenir également en conditions opérationnelles de sécurité tout au long de leur cycle de vie.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants