L’internet des objets vulnérable(s)
Les objets connectés se répandent, chez les particuliers comme dans les entreprises. Le manque de standard, la négligence des fabricants et les déploiements hasardeux sont à l’origine de nombreux risques.
Connaissez-vous Watch Dogs? Dans ce jeu vidéo populaire, le personnage principal, un hacker surdoué, utilise son smartphone pour pirater et exploiter à ses fins les infrastructures connectées de Chicago, notamment les feux de circulation et les caméras de surveillance. Le monde effrayant de Watch Dogs présente l’envers du décor des smart cities. Des villes en devenir où tous les systèmes urbains dotés d’intelligence logicielle, fonctionnent de concert et sans intervention humaine, rendant les cités efficientes, écologiques et agréables à vivre.
Ces deux visages – promesse d’intelligence et d’automatisation, et crainte sécuritaire – se retrouvent dans toutes les applications de l’internet des objets. Et le domaine est en plein boom. Selon Gartner, 6,4 milliards d’objets connectés et autres senseurs seront utilisés dans le monde cette année, soit 30% de plus que l’année dernière. Il suffit de regarder autour de soi pour voir les appareils intelligents proliférer rapidement, des montres connectées aux poupées intelligentes en passant par les voitures autonomes, les thermostats et autres équipements domotiques ou encore les smart TV. Le phénomène concerne aussi, voire davantage, les entreprises, qui comptent par ailleurs des caméras de surveillance, des projecteurs, des lecteurs RFID, sans parler des systèmes industriels ou des équipements médicaux.
Piratages insolites
Bien qu’il s’agisse pour l’heure de cas isolés ou de proof of concept, les histoires souvent insolites de piratage d’objets connectés se multiplient elles aussi. Ici un panneau publicitaire détourné pour diffuser un film X aux passants, là une poupée Barbie intelligente piratée pour écouter tout ce que disent les enfants. Et les conséquences peuvent être dramatiques si l’on songe à ces hackers qui sont parvenus à neutraliser les freins d’une voiture. Dans le domaine de l’entreprise aussi, la vulnérabilité des dispositifs physiques connectés peut avoir des répercussions désastreuses. Ils peuvent notamment servir de porte d’entrée et de sortie au réseau de l’organisation. Ou encore permettre la prise de contrôle de systèmes d’alarme ou de contrôle industriel. Dans une étude récente, la start-up zurichoise BinaryEdge est ainsi parvenue à détecter en Suisse une centaine de systèmes SCADA accessibles sans mot de passe via un serveur VNC (ICTjournal, mai 2016).
Des objets vulnérables
Les raisons sont multiples qui expliquent pourquoi les objets connectés sont particulièrement vulnérables. On sait qu’une chaîne est aussi solide que son maillon le plus faible et, dans l’internet des objets, les maillons sont nombreux: l’appareil lui-même, les diverses interfaces avec lesquelles il communique ou qui permettent de le gérer, les multiples connections locales et distantes. Souvent cité par les spécialistes, le projet OWASP (Open Web Application Security Project) recense ainsi parmi les vulnérabilités principales:
• le manque de sécurité des interfaces web, cloud et mobile et de tous les services réseau
• la confidentialité des données
• les lacunes en matière de chiffrement et d’authentification/autorisation
• le firmware peu sûr et les possibilités de configuration sécuritaire insuffisantes
A cette complexité s’ajoute souvent, le manque d’expertise des fabricants, qui dotent leurs produits de connectivité sans maîtriser la sécurisation de chaque composant. Sans compter le manque actuel de standards sur lesquels les fournisseurs pourraient s’appuyer. Une situation qui conduit à des appareils à la sécurité déficiente, comme en témoigne une étude de HP. En analysant la sécurité d’une dizaine d’appareils connectés populaires destinés aux particuliers, les spécialistes ont notamment constaté que sept d’entre eux utilisaient des services réseau sans chiffrement (certains ne chiffrant pas non plus le téléchargement des mises à jour), que huit appareils et leurs composants applicatifs n’exigeaient pas de mots de passe suffisamment longs ou complexes, et que l’interface web d’une majorité des équipements permettait à un assaillant de facilement découvrir des comptes d’utilisateurs.
Préoccupation des responsables IT
En dépit de ces vulnérabilités, les dispositifs connectés se répandent aussi dans les entreprises, soit parce qu’ils y sont apportés par les collaborateurs, soit parce que l’entreprise les déploie pour en tirer des avantages business et de productivité. Ainsi, selon une enquête réalisée par la société Spice Works, la présence de wearables dans les organisations a presque doublé ces deux dernières années. De plus, 61% des entreprises disposent d’équipements vidéo connectés, 40% de senseurs (lecteurs de badge, etc.) et 37% de systèmes de sécurité physique (casiers, barrières, etc.). Et la demande émane parfois de l’IT, si l’on pense aux senseurs de température et autres détecteurs de mouvement déployés dans les salles de serveurs.
La sécurité de tous ces appareils est un souci pour une grande majorité des professionnels IT sondés par Spice Works. Ils s’inquiètent en particulier du fait que ces équipements sont autant de nouveaux points d’accès au réseau, mais aussi des mesures sécuritaires insuffisantes mises en œuvre par les fabricants et du manque de standards. Et les craintes des professionnels concernent tous les appareils, tant les wearables, que les systèmes de sécurité physique ou les équipements vidéo.
Il arrive même que les entreprises soient à l’origine de ces failles, avertit un rapport de Deloitte. Les spécialistes craignent notamment que les entreprises, faute de standards, ne mettent en œuvre des «bricolages» dangereux. En développant par exemple des solutions peu sûres pour assurer l’interopérabilité d’équipements hétérogènes, utilisant différents protocoles de communication et formats de données. Ou en adaptant leurs senseurs et systèmes de contrôle industriels existants pour l’internet des objets, alors que ces derniers ne sont pas dotés des protections nécessaires à ce nouvel usage.
Gérer un nouveau type de risques
Pour juguler les risques liés à l’internet des objets, les responsables IT prennent diverses mesures. 40% d’entre eux mettent les objets connectés «en quarantaine» sur un réseau séparé. Et la plupart des sociétés investissent dans des solutions de sécurité, comme les systèmes de détection des intrusions (IDS) et de protection avancée (ATP). De quoi booster le marché de la sécurité dédiée à l’internet des objets (IdO) qui devrait croître rapidement et atteindre 547 millions de dollars en 2018, selon Gartner. Le cabinet estime toutefois qu’à l’avenir, les efforts pour sécuriser l’internet des objets vont se focaliser moins sur les vulnérabilités et davantage sur la gestion, l’analyse et le provisionnement des appareils et de leurs données.
Selon le rapport de Deloitte, il convient également que les entreprises considèrent et remédient à des risques associés non pas aux objets eux-mêmes mais à leur déploiement. Le cabinet rappelle que les objets connectés sont souvent déployés dans des écosystèmes complexes auxquels participent de nombreux acteurs, comme dans les applications logistiques avec des fournisseurs, des transporteurs, des distributeurs, etc. Cette complexité a pour effet d’augmenter la surface d’attaque et de diluer la responsabilité des divers intervenants, alors que, une fois encore, la chaîne est aussi solide que son maillon le plus faible.
Le rapport de Deloitte rappelle aussi que les objets connectés libèrent tout leur potentiel lorsqu’ils agissent et s’échangent des données automatiquement, sans intervention humaine. Un couplage qui peut se transformer en effet domino dangereux, si l’on n’a pas mis en œuvre de mécanismes d’interruption et d’urgence. Pour illustrer ce risque, Deloitte donne le cas insolite de ce professeur d’informatique allemand qui avait entièrement automatisé son domicile. Un après-midi, sa maison intelligente a complètement cessé de répondre. La faute à une ampoule défectueuse isolée qui s’est mise à bombarder le hub de messages d’erreurs générant en quelque sorte une attaque en déni de service…
Comme le conclut le rapport de Spice Works, les objets connectés vont continuer de se répandre dans les entreprises et ils sont là pour rester. En attendant que des mesures de sécurité appropriées soient mises en place, rappelez-vous de ne pas les nourrir une fois la nuit tombée…
La sécurité de l’internet des objets intéresse aussi les start-up suisses
Vecteurs de vulnérabilités, les objets connectés peuvent aussi servir à renforcer la sécurité. C’est le créneau choisi par la start-up zurichoise Swissprime Technologies et de sa solution My Lock. Une application qui a valu à la jeune pousse de remporter en février la Coupe du monde de l’internet des objets dans la catégorie Sécurité lors du Mobile World Congress à Barcelone. Développé en collaboration avec des fabricants de serrure, My Lock permet d’ouvrir une porte ou un casier au moyen d’une app et de gérer les clés et autorisations sur le cloud. Le smartphone communiquant avec la serrure via Bluetooth ou NFC. Avec une clientèle soucieuse de sécurité, Swissprime Technologies est consciente est attentive à la sécurité de sa solution, explique son CEO Thomas Riesen. La solution My Lock utilise ainsi du chiffrement pour la communication et l’authentification à la fois entre l’app et la serrure et entre l’app et le système d’administration dans le cloud.
Dans un autre registre, Novaccess a développé une plateforme à vocation industrielle pour sécuriser les applications de smart city. La jeune pousse issue de la HEIG-VD, a notamment travaillé sur une solution d’éclairage intelligent pour la ville de Lausanne. Avec des luminaires formant un réseau maillé, qui communiquent entre eux et avec un hub, ce dernier étant connecté à un système de gestion centralisé, le tout s’appuyant sur divers protocoles de communication, la solution et sa sécurité représentent un immense défi technique. « Il faut éviter que l’on puisse éteindre Lausanne», résument les collaborateurs que notre rédaction a rencontrés à Yverdon. En collaboration avec des experts de la HEIG-VD, Novaccess a développé une plateforme sécurisant la chaîne de bout-en bout, tant au niveau de l’électronique que du logiciel. De la maintenance des équipements au moyen d’une tablette à la mise à jour du firmware, la jeune pousse s’est employée à sécuriser tous les usages et scénarios d’un écosystème particulièrement complexe. Avec ici un usage extensif du chiffrement et des clés cryptographiques.
Etudes citées dans l'article:
Internet of Report Research Study, HP, 2014
2016 IoT Trends: The Devices have Landed, Spice Works, 2016
Safeguarding the Internet of Things, Deloitte, 2015
Kommentare
« Plus