Cybersécurité Internet-Of-Things-IoT

Sécurité de l’IoT (sécurité de l’internet des objets)

Sécurité de l’IoT (sécurité de l’internet des objets)

⌚:  7 minutes

La sécurité de l’IoT est le domaine technologique qui concerne la protection des dispositifs et des réseaux connectés dans l’internet des objets (IoT).

L’IoT consiste à ajouter la connectivité internet à un système de dispositifs informatiques interconnectés, de machines mécaniques et numériques, d’objets, d’animaux et/ou de personnes. Chaque « chose » est dotée d’un identifiant unique et de la capacité de transférer automatiquement des données sur un réseau. Permettre à des dispositifs de se connecter à l’internet les expose à un certain nombre de vulnérabilités graves s’ils ne sont pas correctement protégés.

La sécurité de l’IoT est devenue l’objet d’un examen minutieux après un certain nombre d’incidents très médiatisés où un dispositif IoT commun a été utilisé pour infiltrer et attaquer un réseau le plus important. La mise en œuvre de mesures de sécurité est essentielle pour garantir la sécurité des réseaux auxquels sont connectés des dispositifs IoT.

Les défis de l’IoT en matière de sécurité

Un certain nombre de difficultés empêchent de sécuriser les dispositifs IoT et d’assurer la sécurité de bout en bout dans un environnement IoT. L’idée de mettre en réseau les appareils et autres objets étant relativement nouvelle, la sécurité n’a pas toujours été considérée comme une priorité absolue lors de la phase de conception d’un produit. En outre, comme l’IoT est un marché naissant, de nombreux concepteurs et fabricants de produits sont plus intéressés par une mise sur le marché rapide de leurs produits que par la prise des mesures nécessaires pour intégrer la sécurité dès le départ.

L’un des principaux problèmes cités en matière de sécurité de l’IoT est l’utilisation de mots de passe codés en dur ou par défaut, qui peut entraîner des failles de sécurité. Même si les mots de passe sont modifiés, ils ne sont souvent pas assez forts pour empêcher l’infiltration.

Un autre problème commun aux dispositifs IoT est qu’ils sont souvent à ressources limitées et ne contiennent pas les ressources de calcul nécessaires pour mettre en œuvre une sécurité forte. De ce fait, de nombreux dispositifs n’offrent pas ou ne peuvent pas offrir de fonctions de sécurité avancées. Par exemple, les capteurs qui surveillent l’humidité ou la température ne peuvent pas gérer un cryptage avancé ou d’autres mesures de sécurité. De plus, comme de nombreux dispositifs de l’IoT sont « réglés et oubliés » – placés sur le terrain ou sur une machine et laissés en fin de vie – ils ne reçoivent pratiquement jamais de mises à jour ou de correctifs de sécurité. Du point de vue d’un fabricant, l’intégration de la sécurité dès le départ peut être coûteuse, ralentir le développement et empêcher le dispositif de fonctionner comme il le devrait.

La connexion d’actifs hérités qui ne sont pas intrinsèquement conçus pour la connectivité IoT constitue un autre défi en matière de sécurité. Le remplacement des infrastructures existantes par des technologies connectées est d’un coût prohibitif, c’est pourquoi de nombreux objets seront déjà équipés de capteurs intelligents. Cependant, les objets qui n’ont probablement pas été mis à jour ou qui n’ont jamais été sécurisés contre les menaces modernes sont toujours présents, la surface d’attaque potentielle est élargie.

En ce qui concerne les mises à jour, de nombreux systèmes ne prennent en charge qu’une période déterminée. En ce qui concerne les anciens et les nouveaux objets, la sécurité peut devenir caduque si une assistance supplémentaire n’est pas ajoutée. Et comme de nombreux dispositifs IoT restent sur le réseau pendant de nombreuses années, l’ajout de sécurité peut s’avérer difficile.

La sécurité de l’IoT souffre également d’un manque de normes acceptées par l’industrie. Bien qu’il existe de nombreux cadres de sécurité de l’IoT, il n’y a pas de cadre unique convenu. Les grandes entreprises et les organisations industrielles peuvent avoir leurs propres normes spécifiques, tandis que certains segments, tels que l’IoT industriel, ont des normes propriétaires incompatibles avec celles des leaders de l’industrie. La diversité de ces normes rend difficile non seulement la sécurisation des systèmes, mais aussi l’interopérabilité entre eux.

La convergence des réseaux informatiques et des technologies opérationnelles (OT) a créé un certain nombre de défis pour les équipes de sécurité, notamment celles chargées de protéger les systèmes et d’assurer la sécurité de bout en bout dans des domaines qui ne relèvent pas de leur compétence. Une courbe d’apprentissage est impliquée, et les équipes informatiques dotées des compétences appropriées devraient être chargées de la sécurité des OT.

Les organisations doivent apprendre à considérer la sécurité comme un problème commun, du fabricant au fournisseur de services et à l’utilisateur final. Les fabricants et les fournisseurs de services doivent donner la priorité à la sécurité et à la confidentialité de leurs produits, et fournir également un cryptage et une autorisation par défaut, par exemple. Mais la responsabilité ne s’arrête pas là ; les utilisateurs finaux doivent veiller à prendre leurs propres précautions, notamment en changeant leurs mots de passe, en installant des correctifs lorsqu’ils sont disponibles et en utilisant des logiciels de sécurité.

Violations de la sécurité de l’IoT et piratage de l’IoT

Les experts en sécurité ont longtemps mis en garde contre le risque potentiel d’un grand nombre de dispositifs non sécurisés connectés à l’internet depuis que le concept d’IoT a vu le jour à la fin des années 1990. Un certain nombre d’attaques ont ensuite fait la une des journaux, allant des réfrigérateurs et des téléviseurs utilisés pour envoyer du spam par les pirates informatiques qui s’infiltrent dans les interphones pour bébés et parlent aux enfants. Il est important de noter que de nombreux pirates de l’IoT ne ciblent pas les appareils eux-mêmes, mais utilisent plutôt les appareils IoT comme point d’entrée dans le réseau général.

En 2010, par exemple, les chercheurs ont révélé que le virus Stuxnet avait été utilisé pour endommager physiquement des centrifugeuses iraniennes, les attaques ayant débuté en 2006 mais la principale ayant eu lieu en 2009. Souvent considéré comme l’un des premiers exemples d’attaque par l’IoT, Stuxnet vise les systèmes de contrôle de surveillance et d’acquisition de données (SCADA) dans les systèmes de contrôle industriel (SCI), en utilisant des logiciels malveillants pour infecter les instructions envoyées par les automates programmables (PLC).

Les attaques contre les réseaux industriels n’ont fait que se poursuivre, avec des logiciels malveillants tels que CrashOverride/Industroyer, Triton et VPNFilter qui ciblent les systèmes OT et IoT industriels vulnérables.

En décembre 2013, un chercheur de la société de sécurité d’entreprise Proofpoint Inc. a découvert le premier botnet de l’IoT. Selon le chercheur, plus de 25 % du botnet était constitué d’appareils autres que des ordinateurs, notamment des téléviseurs intelligents, des interphones pour bébés et des appareils ménagers.

En 2015, les chercheurs en sécurité Charlie Miller et Chris Valasek ont exécuté un piratage sans fil sur une Jeep, en changeant la station de radio du centre médiatique de la voiture, en mettant en marche ses essuie-glaces et son climatiseur, et en arrêtant l’accélérateur. Ils ont dit qu’ils pouvaient aussi couper le moteur, enclencher les freins et les désactiver complètement. Miller et Valasek ont pu infiltrer le réseau de la voiture grâce au système de connectivité embarqué de Chrysler, Uconnect.

Mirai, l’un des plus grands botnets de l’IoT à ce jour, a attaqué pour la première fois le site web du journaliste Brian Krebs et de l’hébergeur français OVH en septembre 2016. Les attaques ont atteint respectivement 630 gigabits par seconde (Gbps) et 1,1 térabit par seconde (Tbps). Le mois suivant, le réseau du fournisseur de services DNS (Domain Name System) Dyn a été pris pour cible, rendant un certain nombre de sites web, dont Amazon, Netflix, Twitter et le New York Times, indisponibles pendant des heures. Les attaques ont infiltré le réseau par le biais de dispositifs IoT grand public, notamment des caméras IP et des routeurs.

Un certain nombre de variantes de Mirai sont apparues depuis, notamment Hajime, Hide ‘N Seek, Masuta, PureMasuta, Wicked botnet et Okiru, entre autres.

Dans un avis de janvier 2017, la Food and Drug Administration (FDA) a averti que les systèmes intégrés dans les dispositifs cardiaques implantables de St. Jude Medical fonctionnant par radiofréquence, notamment les stimulateurs cardiaques, les défibrillateurs et les dispositifs de resynchronisation, pourraient être vulnérables aux intrusions et aux attaques de sécurité.

Outils et législation en matière de sécurité de l’IoT

Il existe de nombreux cadres de sécurité pour l’IoT, mais il n’existe pas à ce jour de norme unique acceptée par l’industrie. Cependant, le simple fait d’adopter un cadre de sécurité pour l’IoT peut être utile ; il fournit des outils et des listes de contrôle pour aider les entreprises à créer et à déployer des dispositifs IoT. De tels cadres ont été publiés par la GSM Association, l’IoT Security Foundation, l’Industrial Internet Consortium et d’autres.

En septembre 2015, le Federal Bureau of Investigation a publié un message d’intérêt public, le numéro d’alerte du FBI I-091015-PSA, qui mettait en garde contre les vulnérabilités potentielles des dispositifs IoT et proposait des recommandations en matière de protection et de défense des consommateurs.

En août 2017, le Congrès a présenté la loi sur l’amélioration de la cybersécurité (IoT Cybersecurity Improvement Act), qui obligerait tout dispositif IoT vendu au gouvernement américain à ne pas utiliser de mots de passe par défaut, à ne pas présenter de vulnérabilités connues et à offrir un mécanisme pour corriger les dispositifs. Bien qu’elle vise les fabricants qui créent des dispositifs vendus au gouvernement, elle fixe une base de référence pour les mesures de sécurité que tous les fabricants devraient adopter.

Toujours en août 2017, la loi sur le développement de l’innovation et la croissance de l’Internet des objets (DIGIT) a été adoptée par le Sénat, mais attend toujours l’approbation de la Chambre. Ce projet de loi exigerait que le ministère du commerce convoque un groupe de travail et rédige un rapport sur l’IoT, notamment sur la sécurité et la protection de la vie privée.

Bien qu’il ne soit pas spécifique à l’IoT, le règlement général sur la protection des données (RPD), publié en mai 2018, unifie les lois sur la protection des données dans toute l’Union européenne. Ces protections s’étendent aux dispositifs IoT et à leurs réseaux, et les fabricants de dispositifs IoT doivent en tenir compte.

En juin 2018, le Congrès a présenté la loi sur l’état de l’application moderne, la recherche et les tendances de l’IoT, ou SMART IoT Act, pour proposer au ministère du Commerce de mener une étude sur l’industrie de l’IoT et de fournir des recommandations pour la croissance sécurisée des dispositifs IoT.

En septembre 2018, la législature de l’État de Californie a approuvé la loi SB-327 Information privacy : connected devices, qui a introduit des exigences de sécurité pour les dispositifs IoT vendus dans le pays.

Quelles sont les industries les plus vulnérables aux menaces à la sécurité de l’IoT ?

Les piratages de sécurité de l’IoT peuvent se produire dans n’importe quel secteur, de la maison intelligente à la voiture connectée en passant par une usine de fabrication. La gravité de l’impact dépend largement du système individuel, des données collectées et/ou des informations qu’il contient.

Une attaque désactivant les freins d’une voiture connectée, par exemple, ou sur un appareil de santé connecté, comme une pompe à insuline piratée pour administrer trop de médicaments à un patient, peut mettre la vie en danger. De même, une attaque sur un système de réfrigération abritant des médicaments qui est surveillé par un système IoT peut ruiner la viabilité d’un médicament si les températures fluctuent. De même, une attaque contre une infrastructure essentielle — un puits de pétrole, un réseau d’énergie ou un approvisionnement en eau — peut être désastreuse.

D’autres attaques, cependant, ne peuvent être sous-estimées. Par exemple, une attaque contre les serrures de portes intelligentes pourrait permettre à un cambrioleur d’entrer dans une maison intelligente. Ou encore, dans d’autres scénarios tels que le piratage de Target 2013 ou d’autres atteintes à la sécurité, un attaquant pourrait faire passer un logiciel malveillant par un système connecté – un système de chauffage, de ventilation et de climatisation dans le cas de Target – afin d’effacer des informations personnelles identifiables, causant ainsi des ravages pour les personnes concernées.

Comment protéger les systèmes et dispositifs IoT

Les méthodes de sécurité de l’IoT varient en fonction de votre application spécifique de l’IoT et de votre place dans l’écosystème de l’IoT. Par exemple, les fabricants de l’IoT – des fabricants de produits aux entreprises de semi-conducteurs – doivent se concentrer sur l’intégration de la sécurité dès le départ, en rendant le matériel inviolable, en construisant du matériel sécurisé, en assurant des mises à jour sécurisées, en fournissant des mises à jour/rapports de micrologiciels et en effectuant des tests dynamiques. Les développeurs de solutions doivent se concentrer sur le développement de logiciels sécurisés et l’intégration sécurisée. Pour ceux qui déploient des systèmes IoT, la sécurité du matériel et l’authentification sont des mesures essentielles. De même, pour les opérateurs, il est essentiel de maintenir les systèmes à jour, d’atténuer les logiciels malveillants, de procéder à des audits, de protéger l’infrastructure et de sauvegarder les références.

Ecrire un commentaire