L’Internet des Objets (IdO ou IoT en anglais) fait désormais partie intégrante de notre quotidien. Cependant, l’utilisation croissante des dispositifs de l’IdO a entraîné une augmentation des cyberattaques contre ces dispositifs au cours des dernières années, en exploitant diverses vulnérabilités. La transformation numérique rapide qui s’est opérée dans divers secteurs pendant la pandémie comme la formation et les soins de santé est l’un des facteurs qui ont contribué à cette augmentation. Cette transformation, motivée par la nécessité d’assurer la continuité des activités, a souvent eu lieu sans prendre en compte les mesures de sécurité nécessaires et a laissé des vulnérabilités subsister.

Les cybercriminels savent que les dispositifs de l’IdO représentent l’une des parties les plus vulnérables des réseaux, et que la plupart d’entre eux ne sont pas correctement sécurisés ou gérés. Avec les dispositifs de l’IdO tels que les caméras et les imprimantes, et d’autres périphériques non gérés, un accès direct et des atteintes significatives à la vie privée sont possibles. Par leurs vulnérabilités, ils permettent aux attaquants de s’implanter dans un premier temps, dans les réseaux d’entreprises, avant de se propager à l’intérieur du réseau victime d’une brèche.

Principales attaques

Bien que le paysage des menaces liées à l’exploitation des vulnérabilités de l’IdO contienne des centaines de vulnérabilités, on constate que certaines d’entre elles reviennent plus souvent que d’autres dans les analyses et les tentatives d’attaque contre les réseaux d’entreprise. Voici les 5 principaux problèmes d’exploitation observés dans la nature depuis le début de l’année 2023 :

– MVPower DVR Remote Code Execution : Cet exploit touche en moyenne 49 % des entreprises chaque semaine.

– Dasan GPON Router Authentication Bypass (CVE-2018-10561) : Cet exploit touche en moyenne 49 % des entreprises toutes les semaines.

– NETGEAR DGN Command Injection : impacte 33% des entreprises toutes les semaines.

– D-Link Multiple Products Remote Code Execution (CVE-2015-2051) : impacte 23% des entreprises toutes les semaines.

– D-Link DSL-2750B Remote Command Exécution : impacte 14% des entreprises toutes les semaines.

Au cours des deux premiers mois de 2023, en moyenne, presque toutes les semaines, 54 % des entreprises ont été visées par ces tentatives d’attaque, avec une moyenne de près de 60 attaques par entreprise et par semaine. Ces attaques visaient les dispositifs de l’IdO : 41 % de plus qu’en 2022, et plus du triple du nombre d’attaques qu’il y a deux ans. Ces dispositifs IoT attaqués incluent des appareils courants tels que des routeurs, des caméras IP, des DVR (enregistreurs vidéo numériques) à des NVR (enregistreurs vidéo en réseau), des imprimantes, etc. D’autres dispositifs de l’IdO tels que les enceintes et les caméras IP se multiplient dans les environnements de télétravail et de formation, ce qui offre aux cybercriminels une multitude de points d’entrée potentiels.

Cette tendance a été observée dans toutes les régions et tous les secteurs. L’Europe est la région qui subit actuellement le plus d’attaques contre les dispositifs de l’IdO, avec une moyenne de près de 70 attaques de ce type par entreprise chaque semaine, suivie par l’APAC avec 64, l’Amérique latine avec 48, l’Amérique du Nord avec 37 (et la plus forte augmentation par rapport à 2022, avec 58 %), et l’Afrique avec 34 cyber-attaques hebdomadaires contre l’IdO par entreprise.

Le secteur de la formation et de la recherche est actuellement confronté à une vague sans précédent d’attaques ciblant les dispositifs de l’IdO, avec 131 attaques hebdomadaires par entreprise, soit plus du double de la moyenne mondiale tous secteurs confondus et une augmentation stupéfiante de 34 % par rapport à l’année précédente. D’autres secteurs connaissent également une recrudescence des attaques, dont la plupart connaissent une croissance à deux chiffres par rapport à 2022.

Selon les derniers rapports de Check Point Research, les pirates informatiques préfèrent s’attaquer aux écoles qu’ils considèrent comme des « cibles faciles » en raison de l’abondance des données personnelles stockées sur les réseaux scolaires, ce qui rend vulnérables à la fois les élèves et les établissements scolaires. Le passage à l’apprentissage à distance a considérablement élargi la surface d’attaque pour les cybercriminels, car l’introduction de nombreux dispositifs de l’IdO non sécurisés dans les réseaux scolaires a permis aux pirates de pénétrer plus facilement ces systèmes. De plus, comme les écoles n’investissent pas dans des technologies robustes de prévention et de défense de la cybersécurité, on peut imaginer qu’il est encore plus simple pour les cybercriminels de mener des attaques de phishing et de déployer des ransomwares.

Principales attaques

Bien que le paysage des menaces liées à l’exploitation des vulnérabilités de l’IdO contienne des centaines de vulnérabilités, on constate que certaines d’entre elles reviennent plus souvent que d’autres dans les analyses et les tentatives d’attaque contre les réseaux d’entreprise. Voici les 5 principaux problèmes d’exploitation observés dans la nature depuis le début de l’année 2023 :

– MVPower DVR Remote Code Execution : Cet exploit touche en moyenne 49 % des entreprises chaque semaine.

– Dasan GPON Router Authentication Bypass (CVE-2018-10561) : Cet exploit touche en moyenne 49 % des entreprises toutes les semaines.

– NETGEAR DGN Command Injection : impacte 33% des entreprises toutes les semaines.

– D-Link Multiple Products Remote Code Execution (CVE-2015-2051) : impacte 23% des entreprises toutes les semaines.

– D-Link DSL-2750B Remote Command Exécution : impacte 14% des entreprises toutes les semaines.

Attaques par injection courantes sur les dispositifs de l’IdO

L’injection de commandes représente une vulnérabilité critique et fréquemment exploitée dans les dispositifs de l’IdO. Les attaquants peuvent injecter des commandes dans le programme, en profitant des privilèges de l’application vulnérable. L’adoption généralisée des dispositifs de l’IdO a fait de ce type de vulnérabilité une cible de choix pour les cybercriminels.

Les scanners de vulnérabilité sont couramment utilisés pour identifier et exploiter les faiblesses des applications web et des API. Malgré l’utilisation légitime de ces outils, les attaquants peuvent également les employer à des fins malveillantes. Parmi les outils de plus en plus populaires, citons les tests de sécurité hors bande (OAST) et « Interact.sh ».

La technique de balayage sert d’outil de filtrage pour repérer les victimes potentielles. Lorsque ces attaques sont peu complexes, le balayage constitue l’étape initiale privilégiée par les attaquants. Le processus consiste à envoyer une simple charge utile à un grand groupe, afin que les cibles vulnérables répondent à la demande initiale, et confirment leur vulnérabilité. Cette méthode relève du balayage actif, la première étape de la matrice MITRE pour l’entreprise, un cadre hiérarchisé de tactiques et de techniques d’attaque utilisées par les cybercriminels.

L’analyse permet aux attaquants de vérifier la vulnérabilité de leurs cibles et de s’assurer qu’elles sont les seules à recevoir la charge utile malveillante. Les résultats de la recherche indiquent qu’au cours d’une période test d’une semaine, au moins 3 % des réseaux ont été affectés par cette méthode de balayage. Les principaux exploits qui emploient cette méthode d’attaque sur les dispositifs de l’IdO sont les suivants :

– NETGEAR DGN Command Injection

– Netgear R7000 and R6400 cgi-bin Command Injection (CVE-2016-6277)

– FLIR AX8 Thermal Camera Command Injection (CVE-2022-37061)

– Multiple IoT Command Injection

Comment les entreprises peuvent-elles se protéger contre les attaques de l’IdO ?

Les entreprises dépendent de plus en plus des dispositifs IdO pour leurs activités quotidiennes, et il est donc essentiel qu’elles veillent à la sécurité de ces dispositifs et qu’elles soient proactives. Voici quelques mesures susceptibles d’améliorer la sécurité de l’IdO :

– Acheter des dispositifs de l’IdO auprès de marques réputées qui privilégient la sécurité, appliquer des mesures de sécurité sur les appareils de l’intérieur avant qu’ils ne soient distribués sur le marché.

– Appliquer une politique de complexité des mots de passe et recourir à l’authentification multifactorielle (AMF), le cas échéant.

– Veiller à ce que les appareils connectés soient mis à jour avec les derniers logiciels et à ce qu’ils restent en bon état.

– Appliquer des profils d’accès au réseau de Zero Trust pour les actifs connectés.

– Séparer les réseaux pour l’informatique et ceux pour l’IdO lorsque c’est possible.

Check Point a récemment présenté Check Point Quantum IoT Protect dans le cadre de la version Quantum ’Titan’ R81.20, qui révolutionne la sécurité des réseaux en bloquant les attaques de type zero-day DNS, phishing et de l’IdO les plus évasives. Check Point Quantum IoT Protect aide les entreprises à découvrir et à protéger automatiquement les actifs de l’IdO en quelques minutes.

Les progrès technologiques font évoluer la sophistication et la fréquence des cyberattaques. Les entreprises peuvent mieux se protéger et protéger leurs dispositifs de l’IdO contre les cybercriminels si elles adoptent des mesures de sécurité rigoureuses et s’informent des dernières menaces et des meilleures pratiques en la matière.

Les statistiques et les données utilisées dans ce rapport présentent les données détectées par les technologies Threat Prevention de Check Point, stockées et analysées dans ThreatCloud AI de Check Point. Check Point ThreatCloud AI fournit des renseignements sur les menaces en temps réel, issus de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux, les mobiles et les dispositifs de l’IdO. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives provenant de Check Point Research, la branche intelligence et recherche de Check Point. Les données de ce rapport ont été analysées sur une période allant du début de l’année 2021 jusqu’à mars 2023.