Pour un Internet des objets durable, adoptons de bonnes pratiques de sécurité

Nous avons déjà abordé l’Internet des objets sur notre blog, dans notre article intitulé « Internet des objets – entreprises, ne vous laissez pas prendre de court ! ».

Les entreprises qui déploient et gèrent des appareils connectés verront leur surface d’attaque, c’est-à-dire l’espace accessible à d’éventuels pirate, s’étendre proportionnellement. Elles seront ainsi sujette à une augmentation de leurs « risques commerciaux ». Cela signifie que les dirigeants d’entreprises doivent comprendre l’impact significatif que peuvent avoir sur leur activité et leur image de marque  des interruptions de leurs activités, des piratages ou des vols de données liés à l’IoT .

Cela concerne aussi bien l’Internet des objets industriel que grand public ; les clients ne tolèreront pas que l’accès à leurs objets physiques du quotidien soit perturbé par des cyber-attaques. Ne pas pouvoir accéder au site Web de sa banque en raison d’un malware ou d’une attaque par déni de service ou remettre à plus tard la rédaction de sa note de frais est une chose. Ne pas pouvoir accéder à sa voiture, sa maison ou à son système de chauffage ou de climatisation en est une autre.

Combien de fois accepteriez-vous d’être bloqué hors de chez vous car des serrures électroniques ont été piratées, que votre voiture soit immobilisée (ou pire) en raison d’une attaque malveillante ? Combien de directeurs commerciaux accepteraient de recevoir des données de télémétrie corrompues? Probablement aucun.

Les premiers signes de ce type d’attaques sont déjà visibles. En décembre, il est clairement apparu que des cyber-criminels sont parvenus à prendre le contrôle du système de fonderie d’une aciérie allemande. Selon la BBC, le piratage a causé d’importants dommages dans l’aciérie. Les attaquants ont envoyé des e-mails de phishing leur ayant permis de dérober les identifiants dont ils avaient besoin pour accéder aux machines.

L’article cite le rapport annuel de l’Office fédéral allemand de la sécurité des technologies de l'information (BSI) et indique : « Dans son rapport, le BSI déclare que les attaquants, très compétents, ont utilisé à la fois des e-mails ciblés et des techniques d’ingénierie sociale pour s’infiltrer au sein de l’usine. Le BSI a notamment signalé l’utilisation d’une campagne de spear phishing ciblant des individus spécifiques dans l’entreprise afin de leur faire ouvrir des messages qui recherchaient et exfiltraient des identifiants et des mots de passe ».

L’été dernier, David Jacoby expliquait dans son article « How I Hacked My Home, IoT Style », publié sur le site Dark Reading, qu’il avait analysé tout ce qui était relié à son réseau domestique : une télévision connectée, un récepteur satellite, un lecteur DVD/Blu-ray, des périphériques de stockage réseau, des consoles de jeu, etc. « Une fois ma recherche commencée, j’ai rapidement constaté à quel point il était facile de détecter des vulnérabilités dans l’ensemble des systèmes. Je suis parvenu à trouver 14 vulnérabilités dans le dispositif de stockage réseau, une vulnérabilité dans la télévision connectée et plusieurs fonctions potentielles de prise de contrôle à distance, cachées dans le routeur ».

Cette situation rappelle fortement l’ère du Web à la fin des années 90, lorsque les entreprises ont commencé à ouvrir leurs bases de données à l’extérieur : ces bases qui se trouvaient auparavant derrière leurs pare-feux ont été exposées indirectement à un Internet ouvert dans la précipitation liée au démarrage des activités de e-commerce.

Rares sont ceux (s’il y en a eu) qui ont pris la peine de bloquer les éventuelles failles de sécurité dans les applications. S’en est suivi une période chaotique, causée par des vers infectant les systèmes d’exploitation et les accès Internet. S’il nous reste encore beaucoup à faire, les systèmes d’exploitation, et dans une large mesure les applications Web, sont cependant bien meilleurs aujourd’hui qu’il y a 15 ans.

Voulons-nous commettre ces mêmes erreurs avec l’IoT ? Pour ma part, je ne le souhaite pas.

Il est important, alors que le marché évolue vers l’IoT, que nous tirions les leçons de l’e-commerce et des débuts du Web et concevions et déployions des appareils connectés en tenant compte de leur sécurité dès le départ, au lieu de sécuriser ces appareils et ces systèmes après coup.

La bonne nouvelle est que nous savons déjà comment procéder. Nous savons comment appliquer le threat modelingaux appareils afin d’améliorer leur conception. Cela implique que les fabriquants d’appareils connectés  prennent en compte la feuille de route des équipes de développement et choisissent d’améliorer la conception des appareils de manière continue. Cela nécessitera une collaboration étroite entre les concepteurs,  les équipes de sécurité et les développeurs ainsi qu’un feedback régulier de la part des clients et techniciens sur le terrain.

L’autre solution consiste à ce que ces appareils embarqués soient vendus sans qu’ils ne soient mis à jour bien qu’ils soient connectés ou susceptibles de l’être.

Cette solution est inenvisageable si nous souhaitons profiter d’un IoT sûr et durable.

Cet article a été écrit par George V. Hulme.