Blog

Top 5 des menaces IoT et comment s'en défendre

Principales menaces liées à l



À la base, l’Internet des objets (IoT) est le concept de connexion d’appareils à Internet et à d’autres appareils connectés. En pratique, l’IoT est un vaste réseau d’objets et de personnes connectés, collectant et partageant des données les uns sur les autres et sur leur environnement.

Les objets connectés sur le réseau sont de toutes formes et de toutes tailles et peuvent être pratiquement n'importe quoi. Il peut s’agir de votre ampoule intelligente qui s’allume automatiquement lorsque vous entrez dans votre maison. Ou encore, votre bracelet de fitness suit votre fréquence cardiaque et le nombre de calories que vous avez brûlées. Et il se pourrait aussi que la voiture autonome, que vous pourrez peut-être acheter dans quelques années, soit capable de détecter des objets sur son passage. Ce sont tous des appareils IoT.



Mais ils ont tous un point commun : ils possèdent des capteurs qui leur permettent de collecter des données qui sont généralement partagées avec un ou plusieurs serveurs distants. Ces serveurs distants effectuent des analyses sur ces données, puis partagent les informations obtenues avec l'appareil d'origine et, dans de nombreux cas, avec d'autres applications et serveurs. Ces autres serveurs, comme le premier, effectueront des analyses sur les informations reçues et, selon toute vraisemblance, renverront certaines informations à l'appareil ainsi qu'à d'autres applications et serveurs pour un traitement et un partage d'analyses ultérieurs. Et le cycle continue jusqu'à ce que vous déconnectiez ou éteigniez l'appareil.

D’une certaine manière, les appareils IoT constituent une sorte de boucle de rétroaction d’informations personnelles, biométriques et environnementales. Et les informations tirées de ce processus peuvent donner un aperçu de tout, de l'intensité de votre entraînement au nombre de serveurs qui devraient faire partie du personnel un soir donné dans un restaurant local.



Mais même si cela peut sembler inoffensif et utile, les appareils IoT comportent des risques de sécurité importants. Dans cet article, nous examinons les cinq principaux risques de sécurité liés aux appareils IoT et proposons des moyens de les atténuer.

1. Mots de passe par défaut faibles

De nombreux appareils IoT, sinon la plupart, ne sont pas sécurisés pour de nombreuses raisons. L’une de ces raisons est que la plupart d’entre eux sont livrés avec un mot de passe intégré codé en dur. C’est une aubaine pour les pirates qui cherchent à s’introduire dans ces appareils, car il ne leur faudra pas très longtemps pour trouver le mot de passe par défaut. Et même s’ils ne savaient pas de quoi il s’agissait, la plupart des mots de passe IoT par défaut sont facilement devinables pour des raisons de convivialité.

En 2016, des acteurs malveillants utilisant le Logiciel malveillant Mirai ont pu infecter 400 000 appareils IoT, de routeurs aux caméras vidéo, en utilisant une base de données de mots de passe par défaut courants codés en dur. Cela a créé le plus grand réseau de zombies , qui a ensuite lancé une attaque massive par déni de service distribué (DDoS). Le DDoS L’attaque a réussi à détruire certains des plus grands sites Internet : Amazon Web Services, GitHub, Netflix et Twitter.

Atténuation

Les utilisateurs doivent immédiatement remplacer le mot de passe par défaut de leur appareil par un mot de passe long et complexe et ne pas réutiliser un mot de passe qu'ils utilisent sur un autre compte. Pour vous aider, il est recommandé d’utiliser un gestionnaire de mots de passe qui peut non seulement stocker vos mots de passe complexes, mais qui peut également les générer pour vous.

Les fabricants d'appareils IoT doivent forcer un changement de mot de passe pendant le processus de configuration. Ils doivent également concevoir leurs produits pour inclure des paramètres par défaut sécurisés, y compris des exigences minimales en matière de mot de passe (c'est-à-dire la longueur, les lettres majuscules et minuscules, les chiffres et les symboles). En outre, les fabricants devraient construire authentification à deux facteurs (2FA), authentification biométrique ou certificats numériques (Public Key Infrastructure) dans les appareils pour garantir une authentification sécurisée.

2. Manque de mises à jour de sécurité

La plupart des appareils IoT sont conçus dans un souci de simplicité, de connectivité et de facilité d'utilisation, et non de sécurité. Et c’est un problème. Peut-être était-il parfaitement sécurisé lorsque l’appareil a été mis à disposition pour la première fois. Mais à mesure que le temps passe et que le monde informatique progresse, des vulnérabilités seront presque toujours découvertes – et exploitées. Et de nombreux appareils IoT ne reçoivent tout simplement jamais de mises à jour de micrologiciel ou de correctifs de sécurité, même si des personnes les utilisent depuis des années, voire des décennies (pensez aux routeurs Wi-Fi).

En décembre 2017, le Malware Satori a réussi à infecter plus de 100 000 routeurs Wi-Fi en seulement 12 heures. Les attaquants ont réussi leur attaque en ciblant des appareils présentant des vulnérabilités de sécurité connues – les anciens routeurs conviennent parfaitement. Les vulnérabilités étaient probablement présentes depuis des années sur les routeurs. Mais sans un correctif de sécurité publié par le fabricant, les utilisateurs ne pouvaient rien faire d'autre que de déconnecter leur routeur et d'en acheter un nouveau.

Atténuation

La marge d’action est ici plutôt limitée. Mais je dirai que les utilisateurs devraient changer de routeur WiFi standard après quelques années. Si vous estimez posséder suffisamment de compétences techniques, vous pouvez exécuter le pfSense ou le logiciel OPNSense au lieu d'utiliser un routeur commercial. pfSense et OPNSense sont des logiciels de pare-feu et de routeur open source (et gratuits) basés sur le système d'exploitation FreeBSD. Avec un peu de connaissances techniques, vous pouvez l'installer sur un vieux PC, à condition qu'il dispose d'au moins deux interfaces réseau. pfSense et OPNSense fournissent des mises à jour régulières pour ajouter de nouvelles fonctionnalités et corriger les vulnérabilités connues.

Les fabricants devraient au minimum fournir des informations critiques correctifs de sécurité pour leurs appareils, sinon des mises à jour régulières du micrologiciel. Ils doivent également divulguer toute vulnérabilité découverte, même s’ils ne peuvent ou ne veulent pas les corriger. De cette façon, les utilisateurs seraient au moins conscients de la vulnérabilité de leur appareil au lieu de se laisser emporter par l’illusion de sécurité (ce qui est pire que de savoir que vous n’êtes pas en sécurité).

3. Absence de cryptage (en transit et au repos)

Certaines des plus grandes menaces provenant des appareils IoT sont liées aux communications et au stockage de données non sécurisés. Ce problème, associé au fait que la plupart des appareils IoT implémentent une sécurité faible (voir points 1 et 2), ouvre la porte au vol de données, à la modification de données et aux attaques de ransomware, dans lesquelles les attaquants chiffrent les données sensibles d'une organisation et exigent une rançon en échange. pour la clé de décryptage.

En 2017, un casino sans nom a subi une violation de données qui a vu des attaquants voler une base de données de gros joueurs (très riches amateurs de casino). Ils ont pénétré le réseau en piratant un thermostat intelligent fixé à un aquarium dans le hall du casino. Les attaquants ont réussi à voler 10 Go de données sensibles au casino.

Atténuation

Les utilisateurs à domicile et les organisations doivent pratiquer la segmentation du réseau lorsqu'ils utilisent des appareils IoT. Cela signifie créer un sous-réseau dédié isolé de tous les autres sous-réseaux du réseau. De cette façon, si un acteur malveillant s’introduit dans l’un de vos appareils IoT non sécurisés, il reste bloqué sur ce sous-réseau et ne peut pas se diversifier. Pensez également à bloquer l'accès à Internet sur ce sous-réseau ou au moins à limiter les domaines accessibles. Cela peut être réalisé en utilisant un Liste de contrôle d'accès (LCA).

Les fabricants doivent s'assurer que leurs produits prennent en charge des chiffrement pour les données en transit (lorsque les données sont envoyées et reçues) et au repos (lorsque les données sont stockées sur l'appareil).

4. Problèmes de confidentialité

La collecte et le partage de données relèvent en grande partie de l'activité d'un appareil IoT.but– en particulier les appareils portables, comme les bracelets de fitness et les appareils électroménagers comme les ampoules intelligentes. Ces appareils ont tendance à collecter de grandes quantités de données intimes (localisation, biométriques, comportementales) auprès de leurs utilisateurs, puis à téléphoner à leur domicile (ils transmettent ces données à un serveur distant).

Bien entendu, à première vue, cela a pour but de fournir à l’utilisateur les informations ou le service demandé. Mais qu’arrive-t-il aux données sur le serveur distant ? Chaque entreprise est différente. Cependant, il y a de fortes chances que les données soient conservées (peut-être indéfiniment), fassent l’objet d’analyses plus approfondies (pour augmenter leur valeur) et soient louées ou vendues à des tiers dans un but lucratif.

Où cela mène-t-il l’utilisateur ? Cela les laisse avec des sociétés tierces (avec lesquelles l'utilisateur n'a pour la plupart aucune relation), des gouvernements et éventuellement des groupes de pirates informatiques ayant accès à des détails intimes de leur vie à des fins inconnues. Bien sûr, ils ont reçu en échange un graphique affichant leur glycémie moyenne au cours des sept derniers jours, mais est-ce que cela en valait vraiment la peine ?

Atténuation

Ne les utilisez tout simplement pas. C’est le meilleur moyen d’éviter les pièges en matière de confidentialité liés aux appareils IoT. De plus, c’est une solution low-tech que tout le monde peut mettre en œuvre.

Bien entendu, ce ne sera pas une option viable pour beaucoup. Ainsi, si vous devez utiliser des appareils IoT, comme ci-dessus, placez vos appareils IoT sur un réseau segmenté et bloquez l'accès à Internet si vous n'en avez pas besoin, ou limitez les domaines auxquels vos appareils IoT peuvent se connecter.

Si vous disposez de connaissances techniques suffisantes, vous pouvez bloquer l’accès Internet à vos appareils IoT tout en leur permettant d’accéder au réseau local. Ensuite, en mettant en place un serveur VPN pour un accès à distance (soit sur votre routeur s'il prend en charge VPN, soit sur une machine Linux dédiée), vous pouvez accéder à votre réseau domestique depuis l'extérieur et accéder localement à vos appareils IoT. De cette façon, ce serait comme si vous étiez connecté à votre réseau WiFi chez vous et vos appareils IoT ne pourraient pas téléphoner à votre domicile.

Bien entendu, cette approche est plus judicieuse pour les appareils électroménagers (ampoules, climatiseurs, etc.) que pour les bracelets de fitness, pour lesquels vous souhaiterez peut-être transmettre au moins une partie des données au serveur propriétaire. Cependant, si tel est le cas, vous devrez vivre avec un niveau de confidentialité inférieur.

5. L'informatique fantôme

L’essor des appareils IoT a entraîné une augmentation substantielle du Shadow IT. Lorsque les membres d’une organisation utilisent des appareils, des logiciels ou des services à l’insu ou sans l’approbation de leur service informatique, nous parlons de Shadow IT. Le Shadow IT est également devenu beaucoup plus courant avec la popularité croissante des applications basées sur le cloud.

Les risques posés par les appareils IoT concernant le Shadow IT seront en grande partie involontaires. Il est peu probable que les gens effectuent des tâches liées au travail en utilisant leurs bracelets de fitness. Mais que se passe-t-il lorsque des dizaines ou des centaines de personnes au sein de votre organisation se présentent au travail avec des bracelets de fitness connectés à Internet qui téléphonent continuellement à leur domicile ? Si ces appareils sont autorisés à se connecter à votre réseau d’entreprise sans que des mesures de protection appropriées soient mises en place, votre surface d’attaque est désormais bien plus importante qu’elle ne l’était. De plus, vous disposez désormais de dizaines, voire de centaines de points d’accès non sécurisés à votre réseau. Vous vous souvenez de l'exemple de thermostat intelligent ci-dessus ?

Une étude par helpsecurity.com , publié en 2020, a analysé plus de 5 millions d'IoT, d'IoMT (Internet des objets médicaux) et d'appareils connectés non gérés dans les secteurs de la santé, de la vente au détail et de la fabrication. Les chercheurs ont découvert un grand nombre de vulnérabilités, de risques et de mauvaises pratiques de sécurité autour d’un ensemble très diversifié d’appareils.

Voici quelques statistiques du rapport :

  • 5 à 19% des appareils IoT exécutaient des systèmes d’exploitation existants non pris en charge.
  • 51% des administrateurs réseau ne connaissaient pas les appareils intelligents connectés à leur réseau.
  • 75% des déploiements de soins de santé ont eu VLAN violations, où les appareils médicaux partageaient le même VLAN que les appareils non médicaux
  • 86% des déploiements de soins de santé comprenaient plus de dix appareils rappelés par la FDA.
  • 95% des réseaux de santé ont intégré les appareils Amazon Alexa et Echo aux côtés des équipements de surveillance des hôpitaux.

Atténuation

En plus de ne pas répéter les erreurs répertoriées ci-dessus, les organisations ne doivent pas autoriser des appareils inconnus à se connecter à leurs réseaux critiques. Même s'il n'est pas hermétique, Filtrage d'adresse MAC peut aider à garder les appareils non autorisés hors des réseaux protégés. Les organisations qui souhaitent fournir un réseau invité à des tiers doivent s'assurer que le réseau invité est segmenté et ne peut accéder à aucun réseau ni ressource interne.

Vous devez également disposer d'une politique explicite concernant les appareils IoT afin que votre personnel soit conscient des risques que les appareils IoT représentent pour l'organisation. La pleine conscience sera toujours votre meilleure alliée. Une autre chose que les services informatiques peuvent faire est de mettre en place un outil automatisé de gestion des actifs. De cette façon, le service informatique peut rechercher les appareils non autorisés (ainsi que les logiciels et services) transitant sur votre réseau.

Conclure

Voilà donc les cinq principales menaces IoT. Bien entendu, il existe plus de cinq menaces liées aux appareils IoT – ce ne sont là que les plus courantes. Mais je pense qu’il existe un fait incontournable qui relie tous ces risques, à savoir le fait que les appareils IoT ont tendance à être des appareils informatiques de bas de gamme qui ne sont pas intrinsèquement sécurisés. Même si vous pouvez prendre des mesures pour atténuer ces risques, c’est un peu comme dire que vous pouvez jouer avec le feu en toute sécurité…

La véritable solution devrait venir des fabricants d’appareils. Les fabricants d’appareils IoT devraient placer la sécurité au premier plan de leur philosophie de conception, plutôt que de la considérer après coup – s’ils y réfléchissent.

Alors restez en sécurité. Et abandonnez ce bracelet de fitness – les humains s’entraînent avec succès sans eux depuis des siècles.

^