Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyber menaces et objets connectés : nouveaux appareils, mêmes piratages

avril 2019 par F-Secure

Les objets connectés poursuivent leur inexorable expansion mais celle-ci demeure controversée en raison de l’insuffisance des mesures de sécurité prises par les fabricants. Un nouveau rapport du spécialiste de la cyber sécurité F-Secure révèle que le nombre de cyber menaces visant ces appareils est en augmentation, tout comme le nombre d’attaques effectives. Ces attaques continuent d’exploiter des failles de sécurité bien connues, comme des logiciels non-patchés et des mots de passe trop simples.

D’après ce nouveau rapport, qui s’appuie sur des données collectées et analysées par le Laboratoire F-Secure, ces cyber menaces se multiplient à un rythme plus rapide que par le passé.

Elles ont doublé en 2018, passant de 19 à 38 types en l’espace d’un an -nombre de cyber menaces observées par F-Secure-. Beaucoup de ces menaces utilisent encore des techniques prévisibles et déjà bien connues : dans 87% des cas, elles ciblent des identifiants trop simples/installés par défaut ou bien des failles de sécurité potentielles, voire les deux.

Tom Gaffney, Operator Consultant chez F-Secure, explique que les grands fabricants d’objets connectés accordent plus d’attention à la sécurité que par le passé, mais qu’il existe encore de très nombreux appareils offrant des garanties quasi-inexistantes sur le plan de la sécurité et de la protection de la vie privée.

« Les géants comme Google et Amazon ont fait des progrès en la matière : ils se sont entourés de spécialistes comme notre hacker éthique Mark Barnes, qui a réalisé la première démonstration de piratage d’une enceinte Echo, en 2017 » explique-t-il. « Il n’en reste pas moins que, depuis des années, les fabricants lancent des produits sur le marché sans se soucier de la sécurité : de nombreux appareils ‘intelligents’ mais vulnérables à des attaques peu élaborées sont donc présents au sein des foyers de particuliers. »

Les menaces ciblant les objets connectés étaient rares jusqu’en 2014, explique le rapport. Mais tout a changé le jour où le code source de Gafgyt - une menace ciblant des dispositifs BusyBox, des appareils de vidéosurveillance (CCTV) et de nombreux enregistreurs vidéo numériques (DVR) - a été publié.

En octobre 2016, Mirai, malware développé à partir du code de Gafgyt, est devenu le premier logiciel malveillant ciblant les objets connectés responsable d’une épidémie mondiale : son réseau massif de bots a été utilisé pour lancer l’une des plus grandes attaques par déni de service distribué de l’histoire.

Depuis 2016, le code de Mirai est disponible publiquement « à des fins de recherche et de développement informatique ». ** A l’origine, Mirai utilisait 61 combinaisons d’identifiants pour mener ses attaques. Trois mois plus tard, on en comptait 500. Mirai a également surpris de par sa prévalence : environ 59 % du trafic d’attaques détecté par les honeypots de F-Secure en 2018 ciblait les ports telnet exposés, visés principalement par Mirai.

Selon Jarno Niemela, Principal Researcher du Laboratoire F-Secure, la vulnérabilité des objets connectés est principalement liée à la chaîne d’approvisionnement des fabricants.

« La plupart des fabricants concèdent des licences pour des kits de développement logiciel de puces utilisées dans leurs caméras intelligentes ou autres objets connectés. C’est de là que viennent les vulnérabilités et autres problèmes », explique Niemela. « Les fabricants d’objets connectés doivent exiger davantage de sécurité auprès de ces sous-traitants et se tenir prêts à publier des mises à jour et des patchs, dès lors que ces derniers sont disponibles. »

Le rapport F-Secure Cyber menaces et objets connectés : nouveaux appareils, mêmes piratages inclut également :
● Un bref historique des menaces ciblant les objets connectés, de 2000 à 2018
● Un aperçu des espoirs et des écueils liés à la réglementation
● Un aperçu des risques potentiels liés à la vie privée




Voir les articles précédents

    

Voir les articles suivants