AVIS D’EXPERT – Les objets connectés ne sont pas sans soulever certains problèmes. La protection, la surveillance et la neutralisation des menaces liées à ce vaste réseau de technologies et d’appareils représentent des défis de taille.
Par Zeki Turedi, CTO EMEA de CrowdStrike, géant texan de la cybersécurité.
Depuis une dizaine d’années, l’Internet des objets (IoT) s’est imposé comme une avancée majeure dans notre monde toujours plus intégré et interconnecté. De manière générale, un « objet connecté » est un système – ou un ensemble d’appareils connectés — qui intègre des capteurs et des logiciels permettant de transférer des données sur un réseau. Stimulateur cardiaque implanté chez un patient, écran accessible via un réseau informatique, voiture bardée de capteurs pour collecter des informations de température de moteur ou de niveau de liquide de refroidissement, éclairage de bâtiments… les IoT sont divers et sources de multiples avantages pour les entreprises. Grâce à eux, elles peuvent observer activement leurs systèmes et recueillir des informations pertinentes et des métriques de performance sans la moindre intervention humaine.
Mais ces IoT ne sont pas sans soulever certains problèmes. La protection, la surveillance et la neutralisation des menaces liées à ce vaste réseau de technologies et d’appareils représentent des défis de taille. Au-delà du fait que ces objets recueillent, stockent et partagent en permanence des données grâce à Internet, la manière dont ils sont fabriqués varie de façon significative suivant leurs caractéristiques, leur fabricant et leur prix.
C’est dans ce contexte que le FBI a publié une mise en garde visant à sensibiliser les industriels aux activités des cybercriminels qui s’intéressent de plus en plus aux appareils connectés pour en exploiter les vulnérabilités. Comment faire face à cette problématique grandissante ?
La sécurité de l’IOT, une préoccupation majeure pour les entreprises
On peut affirmer sans prendre trop de risque que l’Internet des objets a de beaux jours devant lui. Selon une étude publiée par IoT Analytics en 2020, les objets connectés (appareils domestiques intelligents, véhicules connectés et autres équipements reliés à un réseau industriel) ont représenté 54 % des 21,7 milliards d’objets connectés actifs, dépassant ainsi pour la première fois les produits connectés traditionnels (PC de bureau et les ordinateurs portables). Les estimations estiment que plus de 30 milliards d’objets seront connectés à Internet en 2025, soit quatre appareils par habitant de notre planète.
Mais, comme nombre de technologies émergentes sujettes à des failles liées au manque de maturité, l’IoT a été victime de nombreuses attaques au fil des mois. Parmi les plus importantes figurent le botnet Mirai qui, en 2016, a visé le prestataire de services DNS Dyn à l’aide d’un réseau de robots conçu pour localiser les appareils connectés à l’IoT. Parvenu à s’infiltrer dans des réseaux, ce logiciel malveillant s’est automatiquement lancé à la recherche d’appareils vulnérables en vue de subtiliser des identifiants lui permettant ainsi de prendre le contrôle des systèmes convoités. Après avoir neutralisé des serveurs, cette attaque a considérablement affaibli des plateformes de renom telles que Netflix, Reddit ou Twitter. Ce genre de mésaventure ne se limite pas aux géants de la tech. Les cybercriminels s’intéressent aussi aux appareils médicaux des hôpitaux, exposant alors de nombreux patients à des dangers considérables. En 2017, le fabricant américain d’appareils médicaux St. Jude Medical a été victime de hackers qui, en accédant à ses stimulateurs cardiaques, ont réussi à intervenir sur leur fonctionnement et à modifier des paramètres susceptibles de provoquer le décès de patients.
Avec l’avènement du télétravail, la sécurité de l’Internet des objets est devenue une préoccupation majeure pour les entreprises dont nombre d’employés utilisent leur réseau domestique et leurs propres outils pour accomplir des tâches professionnelles. Une aubaine pour un grand nombre de cybercriminels cherchant à profiter de mesures de sécurité laxistes pour passer à l’offensive.
De par la diversité d’usages, la variété des fabricants et l’absence de réglementation internationale, certains de ces objets connectés sont développés sans répondre — ou presque — à la moindre exigence de sécurité. Par ailleurs, la possibilité de mettre les appareils connectés à jour, voire d’appliquer des correctifs contre différentes vulnérabilités, dépend des fabricants et varie considérablement d’un produit à l’autre. Cette situation complique sensiblement la tâche des entreprises qui souhaitent maximiser la sécurité et les possibilités de mise à jour de leurs dispositifs connectés.
Appréhender les menaces actuelles pour mieux s’en protéger
Malgré ce risque accru et l’élargissement de la surface d’attaque, la sécurité de l’IoT est un enjeu qui demeure trop souvent négligé, quand il n’est pas totalement ignoré. Des règles de sécurité inadaptées représentent un risque grave pour les entreprises dont chaque terminal peut servir de passerelle vers le réseau au sens large. Car un adversaire qui a réussi à prendre pied dans le réseau d’une entreprise par le biais d’un appareil vulnérable peut s’y déplacer latéralement, accéder à des actifs de grande valeur, ou s’adonner à des activités malveillantes en s’emparant de données, de propriété intellectuelle ou d’informations confidentielles.
De nombreuses sociétés concentrent toute leur attention sur la sécurité des endpoints. Or, il convient d’appliquer le même niveau de diligence aux objets connectés. Si ces derniers ne bénéficient pas d’une protection comparable, l’entreprise tout entière s’expose à des cyberattaques.
Selon une étude publiée par Statista, 33 % des entreprises qui ont adopté l’IoT considèrent que les problèmes de cybersécurité liés à l’absence d’experts qualifiés constituent le principal danger pour leur écosystème connecté. Ce déficit de compétences et de connaissances se traduit par la multiplication des mauvaises pratiques de cybersécurité, parmi lesquelles l’utilisation d’identifiants par défaut dans un souci de commodité, ou le fait d’ignorer la mise à jour des logiciels et micrologiciels de leur appareil, ce qui est pourtant nécessaire pour prévenir les vulnérabilités logicielles.
De leur côté, les cybercriminels ne cessent d’adapter leurs techniques d’intrusion. De plus en plus couramment utilisée, la méthode d’interception dite de « l’attaque sur le chemin » (on-path attack) s’appuie sur la nature même des appareils connectés qui ne chiffrent généralement pas les données par défaut. Résultat, l’attaquant peut se déplacer entre deux appareils qui se font mutuellement confiance et exfiltrer les données échangées. Une autre vulnérabilité abondamment exploitée est celle consistant à voler ou à déchiffrer des identifiants simplistes. Les cybercriminels sont passés maîtres dans l’art d’identifier les mots de passe faibles ou génériques en vue de les utiliser pour accéder lentement au système, voire acquérir des privilèges d’administrateur. Autre méthode appréciée des hackers, les attaques par déni de service (DoS) permettant aux agresseurs de prendre le contrôle d’un objet connecté pour inonder un site Web de faux trafics, submergeant les serveurs Web et empêchant les utilisateurs légitimes d’exécuter leurs tâches quotidiennes. Une démarche malveillante dont a récemment été victime le Ministère de l’Économie, des Finances et de la Souveraineté Industrielle et Technologique français.
La sécurité des entreprises passe par une protection efficace des systèmes IoT
La sécurité de l’IoT doit être intégrée à la stratégie de cybersécurité globale de toute entreprise en appliquant des bonnes pratiques éprouvées telles que la mise à jour et l’application de correctifs. Les entreprises doivent également veiller à utiliser des mots de passe forts assortis d’une méthode d’authentification multifactorielle (MFA) et à dresser l’inventaire des objets connectés en vérifiant que la bonne méthode d’accès est activée pour chacun d’eux. Certes, aucun outil de sécurité ne peut assurer seul une protection homogène et complète de tous les appareils connectés, mais en proposant une combinaison de mesures de sécurité qui couvre la totalité des endpoints et le cloud, appuyée des meilleurs partenaires de cybersécurité, les entreprises bénéficieront d’un niveau de sécurité maximal.
Les entreprises doivent élaborer une stratégie de cybersécurité globale capable de protéger la totalité de leurs appareils contre un large éventail de cyberattaques, tant au niveau des endpoints que du réseau. Sur un marché de la sécurité de l’IoT en forte croissance, passant d’environ 15 à 17,65 milliards d’euros entre 2021 et 2022, les entreprises les plus vigilantes en matière de sécurité de l’Internet des objets disposent des meilleurs atouts pour poursuivre leur croissance au cours des années à venir.
Zeki Turedi