IDO = Internet de tous les dangers ?

b2cblog

Mai 20, 2016

Promo Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 30 jours
IDO = Internet de tous les dangers ?

Selon les prédictions de Gartner d’ici 2020, plus de 25% des attaques identifiées contre les entreprises impliqueront l'IdO, alors que dans le même temps les dépenses de sécurité liées à l’Internet des Objets ne dépasseront pas 10% du budget IT. Cependant les dépenses en matière de sécurité des objets connectés devraient atteindre 547 millions de dollars en 2018, soit presque le double de l'année précédente (281  millions de dollars).

De plus, des études récentes classent les employés ne suivant pas les règles de sécurité comme la plus grande menace pour la sécurité des endpoints (81%). L'utilisation d’appareils mobiles et d’applications cloud par les employés ajoute un dégré supplémentaire de risque pour la sécurité des endpoints. Les sondés affirment que l'utilisation d'applications cloud (72%), le BYOD (69%) et les employés qui travaillent à depuis leur domicile et hors site (62%) représentent les facteurs qui fragilisent le plus la sécurité des endpoints. Le nombre d’appareils mobiles, de vulnérabilités dans les applications tierces et de risques liés aux actes malveillants a aussi largement augmenté depuis 2011. Malgré le risque que représente l’utilisation des appareils mobiles, 56% des sondés confirment que leurs employés sont autorisés à utiliser leurs appareils personnels pour se connecter au réseau de l’entreprise. La menace causée par le nombre croissant d'appareils mobiles non sécurisés dans le cadre professionnel est passée de 33% à 50% en un an.

Il est aisé de comprendre pourquoi les objets connectés vont devenir le moyen de prédilection pour pénétrer au sein des réseaux d'entreprise à la recherche de vulnérabilités exploitables par les cybercriminels. Au cours de l'année écoulée, nous avons commencé à découvrir la réalité de  l’Internet des Objets ; ce serait une grande erreur de croire que les cybercriminels s’y intéressent uniquement pour cibler les particuliers. En s’intéressant aux appareils connectés d’une entreprise, un cybercriminel peut avoir accès à des données confidentielles via les employés eux-mêmes : imaginez que l’un de vos employés possède un bracelet connecté qui mesure son activité physique. Il le charge chez lui mais aussi au travail, sur son ordinateur de bureau qui est connecté au réseau de l’entreprise… Ce n’est qu’un exemple, l’Internet des Objets sera clairement l’un des plus grands vecteurs d'attaque pour l'environnement professionnel dans les années à venir !

Gartner prévoit que 20 milliards d'appareils seront sur le marché d'ici 2020, IDC table même sur 30 milliards et Cisco va jusqu’à 50 milliards d’objets connectés vendus dans les cinq ans à venir. Cela correspond à une moyenne de quatre appareils par personne dans le monde, Le problème est que, souvent, des backdoors sont parfois présentes dans certains objets connectés de manière volontaire de la part du constructeur. Nous avons par exemple découverts des appareils connectés intégrant des mots de passe par défaut tels que 123456, une backdoor introduite par le fournisseur probablement à des fins de support. Cette mesure, au lieu de faciliter le support, crée une faille de sécurité. Si un cybercriminel parvient à pirater la mémoire d'un appareil connecté et récupère le mot de passe associé à la backdoor, chaque modèle identique du fournisseur en question devient vulnérable : n’importe qui pourra pénétrer dans un réseau jusqu'à ce que le fabricant soit prévenu et décide de corriger la vulnérabilité correspondante. À l'avenir, un audit de sécurité des objets connectés  devrait devenir la norme pour attester de leur sûreté.

De même les juridictions internationales devraient pouvoir disposer de moyens plus répressifs pour lutter contre ces attaques.  D’un côté, les éditeurs de sécurité peuvent rendre les attaques plus compliquées et coûteuses, afin que les pirates soient contraint de passer plus de temps et d'argent pour essayer de pénétrer un réseau (Tout le monde ne peut pas se permettre de dépenser des centaines de milliers de dollars pour cibler une entreprise). D’un autre côté, très peu de pirates sont arrêtés et mis en prison, ce manque de législation réelle étant considéré par certains comme une incitation au crime. De plus l’application de la loi reste difficile car les pirates profitent des failles du système et des différentes juridictions internationales en changeant de lieu d’opération en seulement quelques minutes, ce qui laisse la justice impuissante dans la plupart des cas.

Certaines marques, comme Philips et Apple, ont créé un écosystème fermé pour assurer une meilleure sécurité. Cependant, à ce stade dans le développement des objets connectés, l'interopérabilité est cruciale (même si elle reste lourde, propriétaire, exigeante en matière de ressources et en grande partie contrôlée par les fabricants). Ainsi, la plupart des fabricants préfèrent utiliser une plate-forme open-source, ce qui a pour conséquence de rendre leurs produits plus vulnérables à la manipulation de code.


Récemment, des chercheurs des Bitdefender Labs ont analysé quatre appareils grand public connectés à Internet et ont découvert plusieurs vulnérabilités communes. L'analyse révèle que les mécanismes d'authentification actuels des appareils connectés à Internet peuvent facilement être contournés pour mettre en péril la vie privée des utilisateurs et  les réseaux.

tags


Auteur



Vous pourriez également aimer

Marque-pages


loader