Le cabinet IDC estime à 212 milliards le nombre d’appareils connectés en 2020. L’internet des objets va concerner tous les aspects de la vie : transports publics, santé, domotique, machines industrielles, automobiles, sécurité intérieure... jusqu’à la bouilloire domestique !
Si les appareils connectés visent à améliorer le confort et l’efficacité de chacun, les données qu’ils recueillent et transmettent peuvent être confidentielle et à risque. Quid de leur sécurisation ?
la vulnérabilité du tout connecté
Pour le moment, la sécurité de l’internet des objets est insuffisante. Hewlett-Packard et sa division Fortify ont testé des solutions IoT (Internet of Things) appliquées à des objets connectés d’usage courant : téléviseurs, webcams, thermostats, prises électriques, serrures, alarmes centralisées, etc. Chacune de ces solutions communiquait avec un service cloud et des applications mobiles. 250 points faibles ont été identifiés (rapport complet au format PDF disponible ici).
Sur 10 appareils dotés d’une interface utilisateur, 6 présentaient des failles, comme par exemple une vulnérabilité aux attaques sur les éléments dynamiques ou encore authentification faible. 90 % des appareils recueillaient des données personnelles et 60 % d’entre eux possédaient une interface utilisateur non sécurisée.
Autres constats :
- 76 % des appareils utilisaient des services de réseaux non sécurisés, exposant les appareils vulnérables aux attaques d’intermédiaires (« man-in-the-middle »),
- 80 % n'utilisaient pas de mot de passe valable. Certains utilisaient simplement des codes par défaut tels que « 1234 » ou « 123456 » pour protéger l’appareil et le piloter via le cloud ou des applications mobiles,
- 60 % ne parvenaient pas à protéger les téléchargements de firmwares avec des systèmes de transfert crypté ou de protection des fichiers, laissant la possibilité aux pirates de modifier les données de ces programmes.
Selon les chercheurs de l’étude, « les pirates peuvent exploiter plusieurs points faibles : mots de passe trop faibles, mécanismes non sécurisés de restauration des mots de passe ou identifiants peu protégés ».
l’exploitation de la faille IoT
La sécurité est-elle aussi importante lorsque l’objet connecté dont on parle est une bouilloire ? Oui. Chaque solution connectée communique avec d’autres appareils situés à proximité. Elle partage des informations avec différents services dont des services cloud. Elle est ainsi intégrée au réseau et joue un rôle d’émetteur et de récepteur dans un flux continu de données. Dans cette chaîne, toute solution vulnérable est un vecteur d’attaque potentiel pour les cybercriminels.
Lors de la conférence Black Hat 2014, des chercheurs en sécurité ont démontré qu’ils pouvaient pirater un thermostat Nest en 15 secondes en accédant simplement à cet appareil de manière ininterrompue et en remplaçant son firmware sous Linux par un code malveillant capable d’intercepter le trafic réseau.
Daniel Buentello a d’ailleurs piraté un interrupteur électrique compatible Wi-Fi durant une présentation intitulée « Comment faire une arme avec votre cafetière ». Le public a ainsi appris que « la plupart des appareils IoT et mobiles d’usage courant connaissent des problèmes similaires et ne disposent pas d’une protection appropriée pour contrer de telles attaques », comme l’indiquait l’étude Hewlett-Packard citée ci-dessus.
Dans une autre présentation, le consultant en sécurité Jesus Molina a évoqué les failles détectées dans le système de domotique d’un hôtel qui lui ont permis de contrôler la plupart des appareils installés dans ses locaux.
menace mineure ?
De simple objet d’étude, les faiblesses de l’IoT deviennent une menace effective. De nombreuses attaques contre des commutateurs domestiques et d’autres systèmes connectés tels que les magnétoscopes numériques ont déjà été signalées cette année.
« Avec la hausse constante du nombre d’objets connectés, les préoccupations liées à la sécurité connaissent une croissance exponentielle. Quelques problèmes de sécurité sur un téléphone mobile peuvent rapidement générer 50 à 60 vulnérabilités lorsque plusieurs appareils IoT sont utilisés dans un foyer ou une entreprise connectés », indique l’étude Hewlett-Packard Fortify.
La préoccupation de la sécurité s’amplifie avec les technologies mobiles liées à la santé connectée et aux appareils de fitness. La manipulation de ce type de données sans autorisation est non seulement une atteinte à la vie privée, mais peut également s’avérer extrêmement lucrative. Les entreprises recueillent de plus en plus de données personnelles issues par exemple des véhicules et des domiciles. Avec le big data, la portée et la valeur des informations collectées devient très importante.
Ainsi, les attaques sur ces systèmes existent d’ores et déjà. L’année dernière, c’est via le système de ventilation connecté et non sécurisé du prestataire en climatisation que des pirates se sont introduits dans le réseau d’un important distributeur américain, accédant aux applications des points de vente et dérobant les données de carte de crédit de ses clients. Qualys estime que la plupart des 55 000 systèmes d’air conditionné connectés au cours des 2 dernières années présentent des failles de sécurité facilement exploitables par des pirates.
quels impératifs de sécurité pour les solutions IoT ?
Au niveau des fournisseurs de solutions, un premier pas consiste à reconnaître l’existence des risques. Puis, il faut mettre en œuvre des systèmes de signalement et de correction des vulnérabilités au fur et à mesure de leur détection. Pour Carsten Eiram, chercheur spécialisé, de nombreux fournisseurs ne disposent pas de tels systèmes.
Hewlett-Packard Fortify conseille aux fournisseurs de prendre en compte la liste Open Web Application Security Project (OWASP) qui répertorie les 10 problèmes de sécurité majeurs auxquels les appareils connectés sont actuellement confrontés.
Les utilisateurs finaux sont également concernés. Les appareils connectés au sein du foyer nécessitent de savoir protéger son réseau et d’exploiter toutes les fonctions de sécurité disponibles sur chacun d’entre eux. Or, selon John Stewart, responsable de la sécurité de Cisco, « même les équipes de sécurité les mieux dotées financièrement peinent à se tenir informées des dernières évolutions, tant les appareils connectés sont de plus en plus nombreux ».
Le détournement des appareils connectés pour mener des attaques est une source de revenus potentielle. Compte tenu de la sophistication croissante des cybercriminels, la capacité à sécuriser l’internet des objets est un impératif pour la planète connectée et sans doute même pour l’économie mondiale.
Jon
>> Lire cet article en anglais : how secure is the Internet of Things?
Journaliste professionnel dans le domaine de la technologie depuis 1994.