Global Security Mag : Comment définiriez-vous la notion d’Internet des Objets aujourd’hui ?

Renaud Lifchitz : La notion d’Internet des Objets est de plus en plus floue. Auparavant consacrée aux objets non originellement connectés auxquels on rajoute une connectivité, elle désigne aujourd’hui dans les faits des objets de plus en plus nativement et fonctionnellement connectés, que ce soit dans les usages personnels ou professionnels.
On peut considérer que la notion désigne maintenant tout objet qui possède un moyen de communication, qu’il soit ascendant (depuis l’objet) ou descendant (vers l’objet). Deux grandes familles d’objet en font partie : les actionneurs (pilotables à distance) et les capteurs. Certains objets font partie des deux familles simultanément.

Global Security Mag : Quels sont les objets connectés et les usages les plus fréquents à l’heure actuelle ?

Renaud Lifchitz : Dans le monde de l’entreprise, beaucoup d’usages connectés tournent autour de la maintenance prédictive, avec pour l’essentiel des capteurs qui remontent massivement des données dans le but de détecter en amont d’éventuelles pannes ou dysfonctionnement de matériel, et ainsi minimiser les déplacements humains d’inspection manuelle, réguliers ou non.

Du côté du grand public, deux grands usages ressortent : la domotique comprenant alarmes, capteurs et thermostats typiquement, et les objets « de santé », qui sont davantage des assistants de confort ou de divertissement, comptant vos pas, mesurant votre rythme cardiaque

L’Internet des Objets est encore assez nouveau pour le monde industriel qui ne les maîtrise pas encore suffisamment

Global Security Mag : Les objets connectés sont également de plus en plus utilisés dans des écosystèmes. Sont-ils vraiment suffisamment matures pour ce type d’usage ?

Renaud Lifchitz : L’Internet des Objets est encore assez nouveau pour le monde industriel qui ne les maîtrise pas encore suffisamment. Aussi, beaucoup de maquettes, de preuves de concept et d’expérimentations utilisent essentiellement l’IoT pour des capteurs connectés plutôt que des actionneurs, qui représentent davantage de risques pour la production. De nombreux industriels ne maîtrisant pas bien les risques sous-jacents mais ayant conscience de ces risques, ne s’aventurent pas encore au déploiement d’actionneurs distants et/ou automatiques.

Les IoT utilisent le plus souvent le Wi-Fi, mais suivant les cas ils se connectent via le ZigBee, le Bluetooth la 2G/3G ou encore LoRaWAN voire Sigfox

Global Security Mag : Sur quels types de technologies reposent le plus souvent ces objets connectés et leurs écosystèmes ?

Renaud Lifchitz : Le Wi-Fi, en raison de sa consommation relativement élevée, est davantage réservé aux objets connectés non autonomes énergétiquement parlant, c’est-à-dire les objets branchés électriquement en permanence. Autrement, et lorsque la passerelle est internalisée, on trouve beaucoup d’objets connectés en ZigBee et Bluetooth, principalement dans sa version « Low Energy ». Dans le cas d’une passerelle très éloignée et/ou opérée extérieurement, on trouve des réseaux 2G/3G et LoRaWAN voire Sigfox.

Global Security Mag : Quels sont les atouts de ces technologies pour les entreprises et les utilisateurs finaux ?

Renaud Lifchitz : La plupart des usages connectés sont destinés à la réduction des coûts, et en premier lieu à mon sens, à éviter ou diminuer les déplacements sur le terrain. Ainsi, de nombreux usages introduisent des facilités dans la gestion d’une flotte d’objets, de la maintenance prédictive, ou des actions coordonnées sur un parc d’objets connectés.

Le premier risque reste les attaques sur les protocoles liés à la mobilité

Global Security Mag : Quelles sont leurs spécificités en matière de sécurité et les risques inhérents ?

Renaud Lifchitz : La grande majorité des objets connectés utilise des protocoles sans fil, mobilité et/ou autonomie oblige. Ces protocoles sans fil étendent considérablement le périmètre d’attaque de l’objet, transformant son classique périmètre physique à un périmètre logique parfois très étendu (plusieurs dizaines de kilomètres pour la 4G/5G ou LoRaWAN).
Par ailleurs, les objets connectés fonctionnant très souvent par flotte, leur nombre et leur dissémination rend leur surveillance physique complexe, notamment contre les malveillances volontaires (corruption physique), pouvant permettre aussi l’accès à des données techniques ou métiers potentiellement stockées dedans.

5 faiblesses de sécurité reviennent assez régulièrement…

Global Security Mag : Quelles sont les failles et bugs de sécurité que vous observez généralement en matière d’Internet des Objets ?

Renaud Lifchitz : Sur un nombre assez significatif de tests d’intrusion et d’audits, nous constatons que 5 faiblesses de sécurité reviennent assez régulièrement : des mises à jour non sécurisées, des
clés ou mots de passe par défaut, l’absence de chiffrement des communications, le stockage de données non sécurisé et des interfaces de débogage ouvertes sur divers composants.
Ces failles de sécurité, longtemps ignorées ou tolérés, font maintenant l’objet d’un recensement d’un classement auprès de l’OWASP, au sein du projet OWASP IoT : https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project .

Ainsi dans la dernière édition de ce classement datant de 2018, les principales vulnérabilités et menaces sont dans l’ordre décroissant : des mots de passe faibles ou par défaut, des services réseaux non sécurisés, des APIs insuffisamment sécurisées, des mises à jour non suffisamment sécurisées, des utilisations de bibliothèques logicielles non sécurisées ou obsolètes, des défauts de sécurisation de données à caractère personnel, des défauts de sécurisation du stockage ou du transport de données, des défaut de management de flotte, des paramètres par défaut non sécurisés, et enfin des manquements sur le durcissement physique des équipements terminaux contre l’ouverture ou l’altération.

…qui s’explique par la priorité mise au « go-to-market », le manque de budget, de sensibilisation…

Global Security Mag : Selon vous, à quoi sont dus ces manquements ?

Renaud Lifchitz : Plusieurs causes sont à l’origine de ces manquements : les industriels privilégient le « go-to-market » à toute autre priorité, en particulier la sécurité, croyant grignoter davantage de parts de marché en utilisant cette stratégie. On déplore également le manque de sensibilisation et de formation des développeurs et chefs de projet en cybersécurité, et les budgets parfois insuffisants consacrés aux analyses de risques en amont des projets et aux audits de sécurité à leur issue. La mentalité d’un développeur n’est pas celle d’un expert en sécurité et il est probable que l’expertise sécurité reste un métier à part pendant de longues années, tant le domaine est vaste dans l’IoT. On ne se limite pas uniquement à des problèmes de cybersécurité applicative classiques, mais aussi à des problématiques de cybersécurité hardware et radio, beaucoup plus spécifiques et nouveaux.

Une des menaces les plus probables serait celle d’un vers informatique transformant un réseau entier d’objets connecté en botnet ou le rendant indisponible par déni de service

Global Security Mag : De quelle manière les cybercriminels peuvent-ils ou pourraient-ils exploiter ces vulnérabilités ?

Renaud Lifchitz : A mon sens, la menace la plus importante viendrait d’actions malveillantes de grande envergure, facilitées des flottes uniformisées en marques ou en modèles identiques. Ainsi avec une unique vulnérabilité il pourrait être possible d’impacter des centaines ou des milliers d’équipements, et des populations en dépendant. L’exposition des objets connectés à Internet rend les repérages très simples, y compris de façon passive en réutilisant le résultant de scans automatisés quotidiens comme celui de Shodan par exemple.
Ainsi, une des menaces les plus probables serait celle d’un vers informatique transformant un réseau entier d’objets connecté en botnet ou le rendant indisponible par déni de service (DoS ou DDoS). Ce qui limiterait ce risque serait bien évidemment une trop grande fragmentation du marché (fabricants/modèles d’objets connectés).

Dans le monde industriel, les attaques ne relèvent plus ni de la science-fiction ni du fantasme

Global Security Mag : Pouvez-vous nous détailler quelques scénarios déjà survenus ou envisageables ?

Renaud Lifchitz : Dans le monde industriel, nous disposons déjà de pas mal d’exemples déjà survenus, preuve qu’il ne s’agit pas de science-fiction ou de fantasmes. Ainsi, nous avons connus les botnets Mirai, Hajime, BrickerBot, Persirai, Wannacry et NotPetya notamment qui ont eu des impacts considérables chez les industriels.

Plus spécifiquement dans le monde de la smart city ou des smart buildings, nous pouvons citer par exemple en janvier 2017 l’attaque par ransomware des serrures électroniques d’un hôtel de luxe en Autriche, qui a ciblé ses clients, ou encore en avril 2017 le piratage des 156 sirènes de sécurité de Dallas (USA) pendant plus d’une heure, entraînant la saturation des services d’urgences. Bien d’autres exemples ne sont pas ou peu médiatisés.

La sécurité d’une solution se pense très en amont du projet, en considérant les cas d’usages de la solution

Global Security Mag : Quelle est la marche à suivre pour développer un objet connecté sécurisé « by design » ?

Renaud Lifchitz : Il faut distinguer la conception et l’implémentation. Le développement sécurisé « by design » consiste à maximiser les bonnes pratiques de conception, plutôt que celles d’implémentation, trop souvent les seules envisagées par les équipes de développement, là où les techniques de conception sont bien plus efficaces et bien moins coûteuses à utiliser.

Ainsi, la sécurité d’une solution se pense très en amont du projet, en considérant les cas d’usages de la solution et en envisageant les risques pesant sur son environnement dans ces cas d’usages. Cela se traduit généralement par le choix d’une architecture adaptée, et par la sécurisation des interactions entre tous les composants de la solution, que ce soit par authentification systématique ou par chiffrement des échanges et des données stockées. Il faut prévoir la configuration obligatoire par l’utilisateur pour éviter les configurations par défaut, ainsi que des processus de mises à jour sécurisées pour garantir le MCS (Maintien en Condition de Sécurité) de la solution.

Global Security Mag : Peut-on réellement, à l’heure actuelle, déployer ces objets de manière sécurisée en entreprise ? Si oui, comment ?

Renaud Lifchitz : Le classique modèle de défense périmétrique est clairement insuffisant dans le cas d’objets connectés car leur fonctionnalité sans fil étend largement le périmètre physique de l’objet à un périmètre logique qui peut être bien plus grand que le périmètre physique de l’entreprise propriétaire. Il est nécessaire de se poser un maximum de questions sur les conditions de stockage et de transit des données collectées, bien au-delà des données transitant dans le périmètre de l’entreprise, c’est-à-dire au niveau radio, chez les opérateurs télécom utilisés, ainsi que sur les clouds utilisés (datawarehouses et clouds applicatifs tiers). Idéalement, il est intéressant de dresser la liste de tous les flux de données, même s’ils sont nombreux, de façon à maîtriser les risques et responsabilités pour chacun. Il convient aussi de choisir ses intermédiaires et prestataires rigoureusement de façon à limiter ce périmètre, et donc les risques associés, y compris sur le plan géographique et réglementaire (RGPD).

Global Security Mag : Qui est responsable en cas de faille ou de fuite d’information ?

Renaud Lifchitz : C’est une question complexe qui n’a pas une unique réponse et qui sera probablement examinée au cas par cas par la jurisprudence.
Concernant les violations du RGPD, il faut savoir qu’il n’y a pas de transferts de responsabilités en cas d’usage d’un sous-traitant, la responsabilité sera toujours partagée. Ainsi vous serez jugés responsables si votre sous-traitant est fautif ! Il faut donc prendre les plus grandes précautions dans le choix de ses sous-traitants, et leur imposer des standards de travail adaptés. Concernant les dommages matériels et/ou humains, c’est bien plus complexe et les contrats d’assurance et cyber-assurances trancheront progressivement la question. On peut imaginer que ces dernières imposeront des standards et normes spécifiques pour s’engager à couvrir les sinistres futurs.

Vers l’avènement des objets connectés de plus en plus autonomes et intelligents

Global Security Mag : Enfin, comment devrait, selon vous, évoluer le marché de l’IoT dans les années à venir ?

Renaud Lifchitz : Avec les progrès technologiques de miniaturisation, des gains énergétiques, et les progrès de l’intelligence artificielle, nous devrions assister à l’avènement des objets connectés de plus en plus autonomes et intelligents, ne nécessitant plus une administration et une gestion de flotte totalement centralisée. Ainsi l’intelligence se déplacera de plus en plus dans l’objet, qui prendra de plus en plus de décisions. On parle de « Edge Computing » pour désigner cette tendance, mais elle n’est pas encore pour tout de suite.