IoT : quand succès doit rimer avec sécurité

Après avoir décrit les systèmes de communication des objets connectés, nous allons désormais traiter dans ce second volet de la sécurité des IoT. Aujourd’hui, dans cette phase de déploiement intense, il est nécessaire de maîtriser la sécurité des installations pour éviter tout risque majeur, humain ou matériel, causé par une cyberattaque.

De récentes attaques mettent en avant d’importantes failles de sécurité des IoT

Qu’elles soient criminelles ou préventives, les attaques contre les objets connectés se sont multipliées au cours de l’année 2016 dans tous les secteurs. Fin avril 2016, c’est la centrale nucléaire de Gundremmingen en Allemagne qui a été ciblée. Au total, 18 postes informatiques ont été infectés mais aucun n’a eu d’impact sur les réacteurs. La catastrophe aurait été bien plus dramatique si tel avait été le cas. Le principal danger, avec de tels virus, est la possibilité de prendre le contrôle de tous les objets connectés liés au réseau, paralysant ainsi tout le système.

Du 18 au 23 septembre 2016, OVH a été victime de la plus grande attaque de l’histoire par déni de service distribué (DDOS), qui correspond à une vengeance des cyber criminels suite à la fermeture d’un acteur majeur du DDOS. 150 000 objets connectés, principalement des caméras de surveillance et des systèmes d’enregistrement vidéo, ont en effet été piratés au sein de la structure.

Enfin, le 21 octobre de l’année dernière, le Botnet Mirai a mis hors service les serveurs de la société américaine DYN, spécialisée dans la gestion des noms de domaines (DNS). Cette attaque s’est basée sur le piratage des caméras de surveillance de l’entreprise. Au final, de nombreux sites internet majeurs comme Twitter, Netflix ou encore CNN étaient inaccessibles pendant une dizaine d’heures.

Ces trois exemples justifient l’idée que les objets connectés sont devenus le nouveau terrain de jeu des cybercriminels. Les attaques en 2017 se sont d’ailleurs multipliées, à nouveau contre OVH par exemple. Cependant, les conséquences pourraient devenir de plus en plus grave. En effet, les risques autour de la voiture connectée, de la Smart Health, Smart Home et des villes connectées ne seront plus matériels uniquement mais humains. De plus, la multiplication des systèmes d’objets communiquant sans intervention humaine causera encore plus de dégâts. Comment faire face à ces nouveaux risques majeurs ?

‍

Concrètement, où se situe le danger ?

Avant de chercher des solutions, il est indispensable de cerner les menaces. Nous nous rendons rapidement compte que le problème peut se situer à chaque maillon de l’écosystème IoT :

• Les objets : nous remarquons dans la plupart des cas un manque de confidentialité ou un réglage par défaut qui ne sera jamais modifié (exemple classique : Utilisateur : admin, Mot de passe : admin).
• Les réseaux de communication : il n’existe aujourd’hui aucun test pouvant garantir la sécurité. La multitude des réseaux et l’hétérogénéité des solutions existantes rend difficile la mise en place d’un modèle unique et sécurisé. Par ailleurs, pour les LPWAN, transmettre peu d’informations diminue la sécurité des données, car le cryptage effectué est souvent de bas niveau.

Le cryptage est un moyen utilisé pour rendre le message non déchiffrable pour toute personne ne possédant pas la clé de chiffrement. Pour l’IoT, il est de bas niveau pour éviter une surconsommation de data et donc d’énergie pour les objets.

• Les data centers : la sécurité des données n’est toujours pas totalement garantie à cause de l’hétérogénéité des données et leur quantité qui peuvent augmenter le nombre de failles dans les systèmes.
• Les applications : certaines sont parfois peu (ou pas) mises à jour, engendrant ainsi des failles.

Nous devons donc faire face à de nombreuses menaces, mais le principal danger réside dans la création même de cet écosystème. En effet, le time-to-market est réduit au minimum par les acteurs du domaine : ils donnent donc la priorité au gain rapide de nombreuses parts de marché au détriment de la sécurité. Cependant, une prise de conscience commence à émerger et diverses solutions sont possibles, notamment suite à des contraintes légales, liées notamment au Règlement général sur la protection des données (GDPR en anglais).

‍

Des bonnes pratiques… à tout niveau !

Plusieurs solutions sont mises en place, qu’elles soient techniques ou organisationnelles.

Techniquement, il est possible d’apporter des améliorations à plusieurs niveaux :

• Les fabricants se doivent de réduire et limiter l’objet créé aux exigences minimales.
• Les développeurs devront s’imposer une rigueur sur le langage de programmation choisi ainsi que les bibliothèques utilisées, pour garantir l’absence de virus au sein des objets.
• Les personnes en charge du déploiement de la solution IoT devront sécuriser l’installation physique des objets, comme l’interdiction d’introduire des clés USB pour éviter le vol de données.
• Les opérateurs pourront s’assurer des mises à jour des objets et vérifier leur sécurité physique.

En termes d’organisation, un premier label mondial « IoT Qualified Security » a été créé par Digital Security, filiale du groupe ECONOM. Ce label résulte de la mise en place d’un CERT, entité chargée de la veille et de l’évaluation d’incidents sur des systèmes d’information, qui certifie les entreprises qui adoptent les bonnes pratiques et ne présentent aucune vulnérabilité dans leur système.  Notons que 92 % des acteurs sondés du marché de l’IoT, étaient favorables à la mise en place de ce standard de référence, selon leur propre étude réalisée.

Par ailleurs, dans le cadre d’application du GDPR, l’installation d’un Data Protection Officer au sein de chaque structure concernée est obligatoire à partir de mai 2018, sous peine de sanctions financières importantes.

Enfin, nous noterons que des acteurs de la cyber sécurité mettent en place actuellement des solutions pour sécuriser l’utilisation des objets, notamment au sein de la smart home. À titre d’exemple, F-Secure, entreprise finlandaise, a créé un routeur capable de gérer l’ensemble des objets de votre maison connectée. Il représente une interface entre ces objets et internet : une sorte de pare-feu, filtrant ainsi les connexions et limitant par conséquent les risques.

A noter également la création d’une alliance, l’IoT Cybersecurity Alliance, regroupant AT&T, IBM, Nokia, Symantec, Palo Alto Networks et Trustonic, pour proposer des solutions durables et efficaces dans le domaine. Ce projet n’étant qu’à son commencement, nous ne pouvons savoir si son effet sera ressenti à court, moyen ou long terme dans l’écosystème IoT.

‍

La sécurité des IoT, ce n’est pas encore gagné…

Si les menaces sont de plus en plus perceptibles et conséquentes, la prise de conscience de nombreux acteurs devrait permettre d’apporter des solutions pour garantir la sécurité des objets connectés. La réussite de ce marché en dépendra forcément. Chaque maillon de l’écosystème aura un rôle à jouer pour faire face à des cyber criminels efficaces et organisés.

Une fois cet aspect résolu, nous pourrons pleinement profiter des avantages de l’IoT, via une exploitation sécurisée et sereine des données récupérées. Nous en reparlerons dans la suite de ce dossier…

Sources :

http://www.lepoint.fr/societe/une-centrale-nucleaire-allemande-victime-d-une-cyberattaque-29-04-2016-2035939_23.php
http://www.zdnet.fr/actualites/ovh-noye-par-une-attaque-ddos-sans-precedent-39842490.htm
https://lexpansion.lexpress.fr/high-tech/cyberattaque-massive-une-capacite-d-attaque-phenomenale-a-ete-deployee_1843531.html
http://www.lemondeinformatique.fr/actualites/lire-comment-securiser-l-iot-en-s-attendant-au-pire-66592.html
https://docs.microsoft.com/fr-fr/azure/iot-suite/iot-security-best-practices
https://www.econocom.com/fr/actus/communiques-de-presse/digital-security-filiale-du-groupe-econocom-lance-le-premier-cert
http://www.numerama.com/tech/271974-f-secure-sense-un-routeur-intelligent-objets-connectes.html
https://www.channelnews.fr/att-ibm-nokia-symantec-palo-alto-networks-trustonic-sallient-securite-objets-connectes-70055

‍

Auteur : Dalyl Hadj Bouzid, Consultant, Keley Consulting