Actualités de la sécurité

Intelligent mais non sécurisé ?

Michal Salát, 7 septembre 2017

Les objets connectés sont-ils sécurisés ? Peuvent-ils être piratés ? Le laboratoire de menaces d'Avast examine la question de près.

Dans le monde numérique d'aujourd'hui, nous sommes littéralement envahis d'objets connectés. Fabricants de jouets, de meubles, de voitures et d'instruments médicaux ajoutent de l'attrait à leurs produits en incluant des fonctionnalités « intelligentes ». (Même les fabricants de bouteilles vendent des bouteilles d'eau intelligentes et connectées !)

Malheureusement, dans cette hâte de mettre des dispositifs intelligents sur le marché, il existe un élément essentiel qui est trop souvent relégué au second plan : la sécurité.

Pourquoi la sécurité fait-elle défaut dans les objets connectés ?

En l'absence de réglementations pour régir la sécurité des dispositifs intelligents, les fabricants sont livrés à eux-mêmes pour créer leurs propres normes propriétaires de communication. Vous pouvez imaginer les conséquences.

Prenons le cas d’un fabricant de grille-pains qui produit désormais des « grille-pains intelligents ». En plus de permettre à votre dispositif mobile de régler les niveaux de cuisson, le fabricant doit désormais réfléchir à la manière de protéger ces grille-pains contre les pirates informatiques ?!

Il est facile de voir comment les principes de base de la sécurité moderne peuvent être souvent négligés, engendrant l'envoi de produits non protégés à des consommateurs qui attendent avec impatience leur prochain objet « connecté ».

Les objets connectés sont-ils facilement piratables ?

La sécurité faisant défaut dans les dispositifs intelligents, ceux-ci peuvent être piratés à l'aide d'une vaste gamme de méthodes existantes, depuis le craquage des identifiants de connexion jusqu'aux techniques d'exploitation plus sophistiquées, notamment le matériel d'ingénierie inverse ou les systèmes d'exploitation, pour trouver des vulnérabilités « zero day ».

Les services et exploits utilisés pour pirater des objets connectés sont vendus sur le darknet et facilement accessibles aux cybercriminels. Les pirates informatiques tentent toujours d'infiltrer de nouveaux types de réseaux et les communications utilisés par les objets connectés.

Est-il difficile de pirater un objet connecté ?

La manière la plus simple de pirater un dispositif intelligent consiste à craquer les mots de passe ou d'utiliser les identifiants de connexion par défaut de celui-ci pour en obtenir l'accès. Les botnets, qui peuvent être loués sur le darknet, facilitent l'infection de milliers de dispositifs à la fois à l'aide d'une méthode de « lamer », technique élémentaire consistant à adopter le programme malveillant d'une tierce personne à ses propres fins.

Et cela devient encore plus facile lorsque vous prenez en considération cette triste vérité : plutôt que de créer des mots de passe uniques, de nombreux fabricants économisent de l'argent en utilisant les mêmes identifiants de connexion par défaut pour chaque dispositif qu'ils produisent.

L'an dernier, l'une des plus grandes menaces sur les objets connectés a été le botnet Mirai, qui a infecté des milliers de dispositifs intelligents en utilisant les identifiants de connexion par défaut pour effectuer des attaques DDoS (déni de service distribué) de grande envergure.

Depuis la publication du code source de Mirai, presque tout le monde peut exécuter son propre botnet d'objets connectés ou réécrire le code. En conséquence, de nombreuses mutations de Mirai sont apparues.

Bien qu'il y ait d'autres manières d'infecter un objet connecté, leur complexité accrue et leur coût plus élevé les rendent assez rares. L'ingénierie inverse du micrologiciel ou du système d'exploitation, par exemple, exige des connaissances techniques avancées et prend du temps.

De la même façon, les « exploits zero-day », qui tirent profit des vulnérabilités informatiques, coûtent des milliers d'euros.

Ce qui doit être fait pour sécuriser les objets connectés

Une solution efficace que l'on peut envisager pour améliorer spectaculairement la sécurité des objets connectés est de permettre aux consommateurs de modifier plus aisément les données d'authentification de leurs dispositifs intelligents.

Mieux encore, les fabricants pourraient exiger que les utilisateurs créent un mot de passe fort et unique lors de la configuration d'un dispositif pour la première fois. Bien qu'une telle solution ne puisse pas être appliquée à tous les scénarios, modifier les identifiants de connexion par défaut réduirait considérablement le nombre de dispositifs « non sécurisés » et éviterait que lamers, apprentis pirates ou bots de recherche non sophistiqués puissent accéder aux objets connectés.

Autre possibilité, les fabricants d'objets connectés pourraient doter chaque dispositif d'un mot de passe unique et aléatoire, que seul le client recevrait.

Des mises à jour régulières pour corriger les vulnérabilités contribueraient également à sécuriser les dispositifs intelligents contre les exploits. Aujourd'hui, les fabricants utilisent souvent des versions obsolètes des bibliothèques et des systèmes d'exploitation, pour lesquels il existe beaucoup d'exploits puissants, ce qui rend les dispositifs vulnérables aux attaques.

Il existe également de nombreux dispositifs sur le marché pour lesquels il est impossible de mettre à jour le micrologiciel. De ce fait, si un pirate informatique devait exploiter une vulnérabilité, la seule option serait de déconnecter le dispositif du réseau de manière permanente et de le remplacer par un dispositif plus sécurisé.

La sécurisation des dispositifs intelligents sert bien sûr à protéger la vie privée des utilisateurs et à empêcher les attaques DDoS, mais elle peut également éviter bien pire.

Des démonstrations de faisabilité d'attaques ont permis d'établir qu'il est possible d'infecter l'ensemble d'un réseau d'objets connectés en s'attaquant à un seul dispositif, par exemple une ampoule connectée ou un capteur de circulation. Ces démonstrations apportent la preuve que les dispositifs intelligents vulnérables peuvent constituer un problème majeur causant des dégâts considérables s'ils sont contrôlés par les mauvaises personnes.

Imaginez des pirates prenant le contrôle des flux de circulation ou éteignant les lumières d'une ville entière. Les fabricants de dispositifs intelligents devraient collaborer avec des experts en sécurité pour veiller à ce qu'une couche de sécurité soit incluse dans leurs appareils. Ils devraient également tester régulièrement leurs produits.

Et voici ce qu'il faut retenir. Dans leur course pour arriver sur le marché avec leurs tout derniers produits, les fabricants négligent beaucoup d'aspects en termes de sécurité. Jusqu'à ce que nous ayons davantage de protection en place liée à la sécurité des dispositifs intelligents, nous devons nous poser cette question avant d'effectuer un achat : « Le prix de ce nouvel objet brillant vaut-il vraiment son coût potentiel et peut-être trompeur ? »

Venez assister au piratage de drone en direct au stand Avast N.658 au salon MCWA qui a lieu chaque heure afin de démontrer les vulnérabilités des objets connectés.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.