Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Quantum IoT Protect de Check Point identifie des appareils connectés piratés

mai 2022 par Check Point

L’internet des objets est présent partout. Des ampoules connectées aux caméras IP, en passant par les vêtements et même les appareils de cuisine connectés, l’IdO offre de nombreux avantages à toutes les entreprises, car il permet aux employés d’être plus productifs et aux processus commerciaux essentiels de fonctionner de manière plus fluide, intuitive et efficace. L’enjeu est tel que les revenus de l’IdO devraient atteindre 549 milliards de dollars en 2022 et que le nombre d’appareils IdO connectés devrait atteindre 15,9 milliards de dollars d’ici 2030. (CompTIA)

Cependant, la précipitation à mettre cette technologie IdO sur le marché augmente également la surface de cyber-attaque pour les organisations lorsque la sécurité de ces actifs est négligée. Selon Gartner, plus de 25 % de toutes les cyberattaques contre les entreprises impliqueront l’IdO d’une manière ou d’une autre.

Cet article donne un exemple concret au sein duquel la solution Quantum IoT Protect de Check Point a identifié un appareil à risque et a protégé l’organisation d’une cyberattaque aux conséquences catastrophiques. Mais d’abord, rappelons rapidement pourquoi ces appareils sont vulnérables par nature. Pour résumer un blog précédent que nous avons publié sur les dispositifs IdO il y a quelques mois : Les dispositifs IdO arrivent souvent sur le marché avec une faille inhérente qui les rend vulnérables à la sécurité :

• Un véritable chaos en l’absence de normalisation
• Une approche de sécurité insuffisante, y compris des mots de passe faibles ou inexistants
• Du matériel, des micrologiciels ou des logiciels obsolètes et non modifiables
• Un plus grand nombre d’appareils qui élargit la surface d’attaque

Par conséquent, il est trop facile pour les pirates d’accéder à ces appareils et de faire des dégâts sur les appareils IdO ou de passer à d’autres systèmes essentiels et de voler les informations personnelles identifiables (IPI) des clients ou des employés, la propriété intellectuelle ou d’autres actifs. Les pirates peuvent également prendre le contrôle du réseau et demander une rançon. Leur dernière astuce ? Combiner ces stratégies en une double attaque d’extorsion garantissant des paiements encore plus juteux.

Comment Check Point peut aider les entreprises ?

Quantum IoT Protect permet aux clients de voir tous les appareils IdO connectés sur leur réseau et de suivre les communications des appareils IdO, au sein du réseau et à l’extérieur vers Internet. Pour ce faire, des profils sont établis à partir de la compréhension du comportement attendu des appareils IdO. Sur la base de ces profils, les clients bénéficient de politiques d’accès de confiance zéro qui n’autorisent que les communications nécessaires aux opérations habituelles de l’IdO. Les autres connexions sont détectées et bloquées, par exemple une tentative de connexion à une destination Internet suspecte sera bloquée.

Maintenant que nous avons une compréhension de base du comment et du pourquoi, voici ce qui s’est passé dans ce cas d’utilisation spécifique.

Que s’est-il passé ?

(Par respect pour le client, nous garderons son nom anonyme et l’appellerons « client »)
Quantum IoT Protect a été déployé dans un réseau client et a commencé à détecter et à reconnaître tous les appareils connectés de l’IdO. Puisqu’il s’agissait de sa première expérience avec IoT Protect, le client a choisi d’installer les politiques de sécurité en mode détection uniquement, plutôt que d’activer la solution pour bloquer activement le trafic suspect.

Pendant plusieurs semaines, aucune activité ou incident suspect n’a été détecté jusqu’à ce que le client constate que Quantum IoT Protect avait détecté qu’un appareil IoT avait communiqué avec plusieurs domaines suspects sur une courte période. Le client a ensuite remarqué que l’appareil avait cessé de communiquer avec les domaines suspects et a donc décidé de continuer à surveiller ses logs.

À ce stade, le client a choisi de ne pas prendre d’autres mesures car il pensait que tout était revenu à la normale. Cette démarche est compréhensible, car le système est resté pratiquement « silencieux » pendant deux semaines, et ne montrait aucune activité anormale du dispositif IdO.

Néanmoins, après deux semaines d’absence d’activité, le même appareil s’est manifesté de nouveau et a commencé cette fois à communiquer avec des dizaines de domaines suspects sur Internet. C’est à ce moment-là que le client a compris que quelque chose n’allait pas et a décidé de contacter l’équipe IoT de Check Point pour obtenir une assistance supplémentaire.

L’enquête

Au début de l’enquête, l’équipe de Check Point a déterminé que le dispositif communiquait avec plusieurs domaines dont le score était réputé à haut risque. Un examen plus approfondi de ces événements a permis de conclure que l’appareil communiquait avec un ou plusieurs serveurs de commande et de contrôle (C&C).

L’équipe d’intervention a confirmé que ce dispositif IdO était infecté par Mirai et des bots de crypto mining. Une analyse plus poussée des logs a révélé la manière exacte dont l’appareil a été infecté et a identifié les différentes étapes de l’infection, ce qui a permis de décrire au client où il se situait sur la ligne de temps de la chaîne cybercriminelle.

Les leçons apprises

Au début de ce récit, nous avons décrit comment le client avait installé Quantum IoT Protect et pourquoi il fonctionnait uniquement en mode détection. En d’autres termes, le client n’avait pour ainsi dire pas activé les protections qui lui auraient permis de sécuriser ses appareils IdO.

Le client ne voulait tout simplement pas perturber ou potentiellement « casser » la fonctionnalité de l’appareil. Cette crainte est très fréquente, et elle est compréhensible. Les appareils IdO ne sont tout simplement pas livrés avec les instructions bien définies qui indiquent quelles connexions doivent être autorisées pour les opérations normales, et, par défaut, celles qui devraient être interdites ou simplement bloquées. Grâce à la solution Quantum IoT Protect, Check Point répond à cette inquiétude légitime.

Quantum IoT Protect fournit aux clients des politiques d’accès zéro confiance autonomes prêtes à l’emploi qui sécurisent automatiquement les appareils IdO sans perturber ou interrompre leur fonctionnement normal. Pour profiter pleinement de leurs appareils IdO sans encourir de risques de sécurité supplémentaires, les clients peuvent choisir en toute sécurité de déployer la solution Quantum IoT Protect en mode prévention.

L’histoire de notre client se termine sur une note positive : Quantum IoT Protect a bloqué la communication de l’appareil infecté avec les serveurs C&C et a pu nettoyer l’appareil infecté et le remettre en ligne.


Voir les articles précédents

    

Voir les articles suivants