Sécurité, moteur de confiance de l’essor de l’IoT. A investir
Il est grand temps de miser sur la sécurité des objets connectés. Explications, au cours du salon ICT Infrastructure 2018, de Renaud Lifchitz, Information Security Consultant, IoT Expert, Digital Security.
° En 2020, on estime à 50 milliards le nombre d’objets connectés en circulation. Soit, potentiellement, 50 milliards de failles connectées. Par manque de sécurité… Une forme de renoncement ? «Ca y ressemble… Jusqu’ici, en IoT, les failles découvertes sur les dispositifs connectés sont principalement liées à l’absence de chiffrement que ce soit au niveau des communications, des données ou lors des mises à jour des micrologiciels. L’absence de mots de passe forts offre également une belle opportunité aux criminels de pirater facilement ces objets -par exemple, les caméras connectées et les solutions de domotique qui ont gardé leur mot de passe ‘usine’ facilement devinable. La porosité des objets connectés en termes de sécurité conduit à la constitution d’immenses réseaux d’objets infectés…»
° La sécurité des objets connectés serait-elle différente ? «Physiquement, oui. Le plus souvent, l’attaquant a l’objet dans les mains, à savoir le capteur, ce qui facilite les attaques physiques. Qui plus est, ces capteurs sont issus de l’électronique, pas de l’informatique. Et ils véhiculent des ondes, un domaine inconnu pour les informaticiens… Il n’empêche, la sécurité de l’internet des objets est aujourd’hui comparable à celle des débuts d’Internet : chiffrement inexistant, peu de prise de conscience des vulnérabilités et des attaques possibles, faible maturité…
«Qui plus est, le matériel ne coûte presque plus rien et les connaissances se diffusent largement. Les failles exploitables dans des ampoules ou des cadenas connectés sont légion. Du fait de la faiblesse des implémentations de chiffrement sur certains cadenas, on peut retrouver des identifiants ou mots de passe en clair. Des informations sensibles sont même parfois codées en dur…»
° Comment expliquer ce manque de prise en compte ? La spécificité des objets connectés n’explique pas tout… «De fait. Au nom de l’innovation, certains industriels font passer le time-to-market avant les problématiques de sécurité. Ces lacunes deviennent critiques quand elles mettent en jeu la vie des utilisateurs de ces objets -un pacemaker connecté piraté à distance peut entraîner la mort de son porteur, ne l’oublions pas !»
° Souvent, on concentre les risques sur l’usager. L’entreprise, d’une manière générale, est-elle aussi menacée ? Et de quelle façon ? «Dans l’entreprise, la première menace est celle qui réside dans l’exfiltration de données confidentielles de l’entreprise par un objet connecté apporté par un employé. Ces périphériques n’étant pas conçus pour l’entreprise, ils ne suivent presque jamais la politique de sécurité du système d’information, malgré le fait qu’ils peuvent se connecter au réseau de la société. Dès lors, il est facile pour un malware de récupérer des données sensibles dans le cadre d’une attaque d’intelligence économique ou d’espionnage industriel. La problématique est la même que pour les téléphones mobiles à leur apparition et que pour la vague du BYOD.
«Ces solutions connectées peuvent également appartenir à l’entreprise elle-même. Imaginons par exemple un système de climatisation connecté dans la salle serveur qui, en cas de piratage, pourraient laisser la température s’élever anormalement et ainsi causer des dégâts aux machines. Si l’objectif pour le pirate est de s’introduire dans les locaux, l’utilisation de badgeuses connectées lui permettrait d’exploiter une faille dans les protocoles de communication de manière à pénétrer dans le bâtiment. Une ampoule connectée qui garderait le mot de passe Wi-Fi en mémoire, un robot-aspirateur qui connaîtrait les plans des locaux et les heures de présence des employés ou encore une télévision intelligente équipée d’un micro en salle de réunion sont autant de portes d’entrée dans l’entreprise ou son système d’information.»
° Concrètement, comment procéder ? Quelles mesures mettre en place ? «La priorité est de sécuriser chaque maillon de ce réseau et, par conséquent, de sensibiliser l’ensemble des acteurs du secteur, à tous les niveaux. Ne perdons pas de vue que la solidité d’une chaîne dépend d’abord et avant tout de celle de son maillon le plus faible… La sécurité n’est donc pas qu’un frein au développement de l’IoT; elle est surtout une opportunité, un facteur clé de succès et un avantage concurrentiel désormais incontournable. Notre mission, chez Digital Security, est précisément de définir un nouvel équilibre permettant le développement économique de l’IoT et le respect des bonnes pratiques de sécurité. Cela dépasse le cadre des objets connectés. Il s’agit en effet de prendre en compte un ensemble de composants qui doit être maîtrisé pour assurer la meilleure sécurité possible. C’est pourquoi nous proposons notre expertise IoT aussi bien aux créateurs d’objets connectés qu’aux utilisateurs de ces solutions.»