L’INTERNET DES OBJETS COMME ARME: LES APPAREILS INTELLIGENTS COMME FAILLES DE SÉCURITÉ

Dans le monde de la technologie, nous sommes toujours à la recherche de la prochaine grande tendance. Le „Next Big Thing“. L’internet des objets fait sans conteste l’actualité. Toujours plus d’objets deviennent “intelligents” – sont connectés entre eux par Internet pour pouvoir proposer de nouvelles fonctionnalités, pour être plus efficaces ou pour simplifier leur maintenance et leur gestion.

Global-Red-201-800x388[1]

Soyons honnêtes: pour chaque nouveau “Big Thing”, la sécurité se retrouve toujours négligée. Cela s’appliquait déjà à la naissance d’Internet, des années plus tard au Public Cloud et maintenant à “l’Internet des objets”. De nouvelles armes sont à la disposition des hackers et leurs offrent de nouvelles possibilités pour nuire.

Et ils ont beaucoup de munitions à cet effet: selon des estimations actuelles, on compte déjà près de 23 milliards d’appareils connectés en circulation – soit près de 13 appareils par foyer dans le monde entier. Ce chiffre devrait grimper à 50 milliards jusqu’en 2020. La liste englobe des appareils destinés aux consommateurs, comme les webcams, les caméras de surveillance, les appareils électroniques portables (wearables), les voitures ou les objets domestiques intelligents (télévision, réfrigérateur, etc…), jusqu’aux diverses machines et solutions industrielles: production automatisée, systèmes de navigation pour les bateaux ou moyens de transport automatisés, même les détecteurs d’incendie font partie de l’IdO… et ne sont pour la plupart que protégés de façon rudimentaire. De plus, ils fonctionnent souvent avec des systèmes d’exploitation bien connus, comme par exemple Linux.

Par conséquent, de nombreuses possibilités d’accès illicites à ces systèmes ont été divulguées et sont souvent faciles à utiliser. Pour deux raisons:

camera-1219748_960_720D’une part, beaucoup d’appareils sont protégés de façon insuffisante par le constructeur – avec des identifiants comme “administrateur” ou “mot de passe”. Soit en règle générale, un des mots de passe très connus, que chaque hacker tentera en premier.

D’autre part, ces appareils sont souvent oubliés lors de la mise en place des systèmes de sécurité informatique – et ne sont pas pris en compte parmi les appareils informatiques à protéger.
Nous – et avant tout, nos collègues experts en sécurité de RSA – avons depuis longtemps identifié ce problème.

En 2014, Alan Webber définissait dans son blog “les zones à risques pour l’Internet des objets”. Comme nous l’avons constaté à l’automne dernier, ces risques ne sont pas sans fondement: une attaque par déni de service (DDoS) majeure a été lancée sur Dyn, un fournisseur DNS, et a impacté un grand nombre de ses clients: Twitter, Reddit, AirBnB, Spotify, Netflix et aussi Paypal.
C’est avec l’utilisation d’un logiciel malveillant appelé Mirai que 20 millions d’appareils ont été piratés et utilisés comme armes pour paralyser Dyn – avec succès. Ce qui est curieux: en plus des ordinateurs classiques, de nombreux enregistreurs à disque dur et webcams ont aussi participé à l’attaque. Ici trouverez-vous une analyse détaillée de l’attaque (en deux parties) par des experts de RSA.

Détecter ces appareils n’est, depuis quelque temps, plus très compliqué: en 2015, Matthew Gardiner dédiait au thème de “la sécurité de l’Internet des objets” un autre article de blog et fit référence au moteur de recherche Shodan. Celui-ci ne fait rien d’autre que de trouver des appareils connectés à Internet et faciles à contrôler et de les signaler aux utilisateurs.

Pourtant il est aujourd’hui très facile de se protéger. Voici quelques conseils:

  • Veiller à remplacer les mots de passe par défaut des constructeurs
  • Lors du changement de mot de passe, ne pas choisir un autre mot de passe très courant comme „qwertz“ oder „123456“
  • Désactiver tous les systèmes de communication qui ne sont pas essentiels (comme Bluetooth)
  • Faire des mises à jour régulières – elles combleront souvent vos failles de sécurité
  • Quand cela est possible, crypter l’échange de données entre les appareils

Ce sont du moins quelques mesures rapides et faciles à appliquer, qui créent un minimum de sécurité. Des mesures additionnelles devront ensuite, bien sûr, être prises sur mesure selon les besoins de votre entreprise. Le résultat: sécurité maximale et productivité accrue.

 Prenez contact avec nous!

Leave a Reply

Your email address will not be published. Required fields are marked *