Un effort collectif sans précédent est vital pour mettre fin au pillage des systèmes IoT
L’Internet des objets (IoT) a bien évolué depuis le temps où des étudiants de l’université Carnegie Mellon installaient des micro-interrupteurs dans un distributeur de Coca-Cola pour vérifier à distance la température et la disponibilité de leurs boissons préférées.
C’était en 1982. Depuis, les appareils IoT se sont largement intégrés dans nos maisons, nos entreprises, nos services publics et nos systèmes de transport. Cela nous a apporté de nombreux avantages. Pourtant, l’omniprésence des systèmes IoT a également considérablement augmenté la surface des cyberattaques sur les réseaux d’entreprise, en particulier ces dernières années.
En outre, la pandémie de COVID-19 a désormais un effet multiplicateur sur cette exposition croissante de l’IoT aux cyber-risques. Neuf mois après le début de la pandémie, une dynamique inquiétante se met en place. Le télétravail et l’enseignement à distance ont augmenté notre dépendance aux systèmes IoT, à une échelle que personne n’aurait pu anticiper. Une grande partie de cette augmentation si forte et si soudaine va probablement perdurer. Résultat : les pirates informatiques se bousculent pour tirer parti de cette situation.
Et cela ne fait que commencer. Les arnaques et les piratages permis par l’IoT ont rapidement atteint un niveau élevé et devraient s’accélérer encore davantage en 2021 et au-delà. Cette augmentation peut, et doit, être maîtrisée. La bonne nouvelle, c’est que nous possédons déjà la technologie et que nous connaissons les bonnes pratiques à mettre en place pour atténuer les risques grandissants liés à l’IoT.
Toutefois, les entreprises, quelle que soit leur taille, devront faire preuve d’un effort collectif et être proactives. Les citoyens, les consommateurs et les travailleurs ont également un rôle important à jouer. Chacun d’entre nous devra coopérer et faire des sacrifices. L’enjeu est considérable. Voici ce que les entreprises et les individus doivent comprendre sur nos systèmes IoT et les menaces auxquelles ils font face dans ce monde post-COVID-19.
La généralisation de l’IoT
Aujourd’hui, l’IoT est partout. Nous nous sommes entourés de capteurs intégrés qui transmettent des données sur Internet en continu. Grâce aux appareils connectés, nous pouvons contrôler à distance nos appareils électroménagers, les centrales électriques, les bâtiments intelligents, les usines, les aéroports, les chantiers navals, les camions, les trains et les appareils militaires.
Et ce n’est que le début. Demain, les systèmes IoT feront fonctionner des véhicules autonomes et ce qu’on appelle des « jumeaux numériques » : des représentations virtuelles d’objets physiques dotés d’intelligence artificielle. J’ai récemment entendu le Dr. Joe Alexander, (éminent scientifique de NTT Research) décrire son extraordinaire travail sur un jumeau numérique de cœur humain qui pourrait un jour analyser des données pour aider à diagnostiquer et traiter les maladies cardiaques.
Aujourd’hui, la principale difficulté réside dans le fait que de nombreuses entreprises sont déjà trop occupées à tenter d’améliorer leurs politiques de sécurité alors qu’elles migrent leurs systèmes informatiques dans le cloud pour se soucier de l’IoT. Les risques liés à l’IoT ne sont pas la priorité. Toutefois, la pandémie de COVID-19 a mis en lumière les dangers qui entourent nos objets connectés.
« Trop souvent, les entreprises disposent de politiques et d’outils de protection des terminaux sur-site, mais elles n’ont aucune politique de supervision de la sécurité pour les appareils mobiles et IoT. », m’a confié Chris Sherman, analyste du secteur senior chez Forrester.
D’après lui, il existe un manque de visibilité important sur les appareils IoT qui doit être réduit. Je partage son avis. La plupart des entreprises n’ont qu’une vague idée du nombre de capteurs IoT connectés à leurs réseaux, et chaque appareil représente une porte d’entrée potentielle pour les intrus. La fermeture des entreprises et des écoles due à la pandémie de COVID-19 a fait émerger des dizaines de millions d’appareils IoT supplémentaires qui, connectés aux réseaux d’entreprises, n’ont fait qu’accroître les risques d’exposition.
Une véritable aire de jeu pour les pirates
Une récente étude de Forrester sur les employés d’entreprises a montré qu’à la mi-2020, au moins la moitié des employés de 58 % des entreprises du monde entier travaillaient depuis leur domicile, où en moyenne 11 appareils sont connectés à Internet. Ajoutez à cela toutes les écoles et universités qui, en raison de la pandémie, se sont tournées vers les cours à distance.
« Le nombre d’appareils dans l’écosystème IoT augmente, tout comme le temps qu’ils passent sur un même réseau, en tant qu’outils de travail », indique Chris Sherman.
Pour les pirates malveillants, c’est une véritable aire de jeu. Les systèmes d’exploitation des appareils IoT domestiques sont généralement conçus avec une sécurité de connexion minimale. Les collectifs de pirates sont très doués pour « exploiter les protocoles d’authentification peu sécurisés afin de gagner en persistance dans un réseau ciblé. », ajoute Chris Sherman. « Une fois qu’ils ont réussi à pénétrer dans le réseau, ils peuvent se déplacer latéralement pour accéder à d’autres ressources de l’entreprise. »
Les attaques de réseaux informatiques domestiques et professionnels permises par l’IoT ont dépassé le stade de la théorie : elles sont en augmentation constante depuis au moins trois ans.
Le désormais célèbre botnet Mirai s’est auto-répliqué en recherchant des centaines de milliers de routeurs domestiques aux mots de passe faibles ou inexistants. À partir de là, il s’est répandu sur d’autres types d’appareils IoT grand public, ainsi que sur des ordinateurs d’entreprise. Il a fini par être utilisé pour mener des attaques par déni de service (DDoS) de grande ampleur.
Les botnets IoT continuent encore aujourd’hui de mener des attaques DDoS et sont régulièrement déployés pour distribuer des malwares de type Cheval de Troie bancaire ainsi que des attaques de l’homme du milieu (MITM). Le botnet VPNFilter, par exemple, a compromis des routeurs domestiques faiblement protégés, qui ont ensuite été utilisés pour voler des informations de connexion aux employés dans le cadre de violations de données massives contre des entreprises ciblées.
Faille de sécurité de l’enceinte connectée d’un directeur financier
En 2020, les attaques permises par l’IoT se sont manifestées sous de nouvelles formes. Dans un cas très récent, les pirates ont ciblé le directeur financier d’une société de services financiers qui travaillait alors de chez lui, révèle Chris Sherman. Les pirates ont réussi à pénétrer dans le MacBook du directeur financier. Mais, en dépit de leurs efforts, ils ne sont pas parvenus à atteindre leur objectif, à savoir prendre le contrôle du microphone du MacBook.
À la place, ils ont localisé et pris le contrôle d’une enceinte connectée reliée au réseau domestique de leur victime via une connexion Bluetooth et ont ainsi pu espionner ses conversations privées.
C’est un exemple caractéristique des attaques IoT à venir. Nous avons intégré des appareils IoT utiles à nos appareils électroménagers, contrôleurs d’environnement, appareils de suivi de santé, appareils multimédias et de jeux vidéo, caméras de surveillance, systèmes d’accès aux bâtiments, appareils médicaux et même voitures connectées. Il est évident que les pirates motivés vont continuer à exploiter ces nouveaux vecteurs d’attaque.
« Parfois, nous ne nous rendons même pas compte du nombre d’appareils que nous possédons et qui comprennent des fonctionnalités d’enregistrement audio et vidéo », indique Chris Sherman. « La crainte des attaques permises par l’IoT est particulièrement importante dans le secteur de la santé, où un grand nombre de conversations protégées par le secret médical et les réglementations locales peuvent être captées par des appareils domestiques. »
Mike Nelson, vice-président de la sécurité IoT chez DigiCert, accorde une attention toute particulière aux vulnérabilités systémiques des systèmes IoT déployés dans le secteur de la santé. DigiCert est l’un des principaux fournisseurs de certificats numériques et de services de sécurité associés. Mike Nelson est chargé d’aider les entreprises à faire face aux risques liés à l’IoT, mais il a également un intérêt personnel en jeu. Souffrant de diabète de Type 1, il reçoit continuellement des mesures sur son smartphone, transmises par un appareil IoT qu’il porte à la jambe et qui surveille sa glycémie.
Un pirate, pourrait très bien délibérément ou par inadvertance modifier ou perturber les données circulant dans de tels systèmes, avec un impact potentiellement dévastateur sur les personnes diabétiques telles que Nelson. Il en va de même pour tous les patients recevant des soins vitaux qui dépendent de données acheminées via des systèmes IoT.
« Les hôpitaux intègrent des données provenant de pompes à perfusion sans fil qui fournissent des traitements essentiels aux patients », fait remarquer Mike Nelson. « Ces pompes sont connectées à de nombreux systèmes différents, dont le réseau. Si elles ne sont pas sécurisées, une personne malveillante peut pénétrer dans l’hôpital, découvrir l’appareil sur le réseau, en prendre le contrôle et potentiellement injecter une dose de médicaments létale à un patient. »
La confiance automatique n’est plus de mise
Les intrusions dans les systèmes IoT ne présentent pas seulement un danger dans le secteur de la santé. Des entreprises de toute taille, dans tous les secteurs, sont exposées dès lors qu’elles utilisent des systèmes IoT faiblement configurés pour prendre des décisions opérationnelles critiques, à distance et en temps réel.
« Les appareils de suivi d’inventaire, les contrôleurs de température ou tout autre type d’objet connecté qui recueille des données exploitables risquent d’être attaqués », indique Mike Nelson. « Le pirate intègre des malwares sur l’appareil pour qu’il rapporte des valeurs inexactes, ou bien il exécute une attaque de l’homme du milieu et manipule les valeurs transmises depuis l’appareil. »
Les systèmes IoT se sont généralisés sans qu’on accorde suffisamment d’attention à la sécurité. Les entreprises de tous les secteurs doivent procéder à d’importants changements, en particulier maintenant que l’utilisation des appareils connectés augmente en raison du COVID-19. Il est primordial d’en avoir une meilleure visibilité. Cela mènera naturellement à l’implémentation de contrôles de gestion d’identité et d’accès (IAM) plus solides, et à une surveillance renforcée des données sensibles circulant sur les systèmes IoT.
« Les entreprises doivent cesser de faire confiance automatiquement aux appareils », précise Mike Nelson. « Elles doivent savoir quels appareils sont connectés à leur réseau, puis prendre des décisions en fonction de la provenance de l’appareil et de sa fonction. La valeur ajoutée et le risque présenté par chaque appareil doivent être évalués en permanence. »
Cela ne dépend pas uniquement de l’entreprise. Les employés travaillant à distance doivent assumer un certain niveau de responsabilité et désormais faire ce qui est en leur pouvoir pour améliorer la sécurité de leurs appareils IoT et de leurs réseaux domestiques.
Oui, cela signifie plus de travail et plus de contraintes au niveau individuel. En effet, chacun d’entre nous devient alors technicien et auditeur en sécurité pour ses systèmes IoT domestiques. Cela implique notamment d’apprendre à modifier les mots de passe faibles par défaut de nos routeurs domestiques et de nos appareils IoT, de généraliser l’authentification multi-facteurs et de prendre des habitudes de gestion des mots de passe fiables, même si elles peuvent s’avérer fastidieuses. Il s’agit aussi, par exemple, de ne pas utiliser son adresse professionnelle pour s’inscrire sur des sites ou des applications. Chacun d’entre nous doit commencer surveiller de près son empreinte numérique.
Impliquer davantage les employés dans la sécurité
Les entreprises peuvent aider leurs employés en leur offrant une formation efficace ; de nombreux services et outils de formation en matière de sécurité sont disponibles. Ce qu’il manque, ce sont des responsables pour inculquer une culture de la sécurité, à tous les niveaux de l’entreprise. À l’avenir, un véritable effort de collaboration entre la direction et le personnel de première ligne devra se concrétiser. Dans le cadre de son étude sur les employés menée l’été dernier, Forrester a interrogé plus de 10 000 informaticiens et a constaté que 54 % des employés préfèrent gérer la sécurité eux-mêmes, tandis que les autres sont plus hésitants ou préfèrent laisser leur employeur le faire.
« Les employés doivent suivre des politiques définies par l’équipe de sécurité de leur employeur, mais c’est bien à l’entreprise d’adapter le réseau des employés, et non l’inverse. », précise M. Sherman. « C’est pourquoi il est important d’intégrer la formation des employés aux appareils IoT aux programmes de sensibilisation à la sécurité. »
Par exemple, dans le cadre d’un programme de formation aux meilleures pratiques en matière de sécurité pour les appareils IoT, certains hôpitaux ont récemment mis en place des politiques obligeant les médecins à désactiver toute enceinte intelligente dans les pièces où ils effectuent des consultations à distance. L’objectif est de s’assurer que les médecins ne partagent pas oralement des informations relevant du secret médical autour d’appareils IoT susceptibles d’avoir été piratés.
2020 a été une année pleine de défis encore inimaginables il y a peu. Et ce n’est pas fini. L’augmentation soudaine du télétravail et de l’enseignement à distance poussera peut-être les entreprises et les consommateurs à se mobiliser en matière de cybersécurité. Je l’espère.
Avast est un leader mondial de la cybersécurité et de la protection de la vie privée avec des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre produits antivirus, anti-ransomware et de protection de la vie privée.
