Comment éviter d'être cambriolé par son système anti-cambriolage ?
Publié le 26 Mai 2021
De nombreux appareils connectés sont introduits dans l’entreprise par des employés ou des prestataires extérieurs en échappant au contrôle de la DSI et donc sans tenir compte de sa politique de sécurité
C’est une aubaine pour les cybercriminels qui disposent alors de points d’entrée relativement discrets. Car il n’est pas nécessaire d’avoir un accès physique avec ces objets connectés dont bon nombre fonctionnent via des réseaux radio
L’IoT : Maillon faible naissant de la CYBERSÉCURITÉ ! Les objets connectés sont une porte d’entrée royale pour les cybercriminels
Des communications non chiffrées, des firmwares non mis à jour, un accès facilité par des communications sans-fil peu sécurisées … Les objets connectés sont une porte d’entrée royale pour les cybercriminels. Ces derniers sont de plus en plus nombreux à mener des attaques sur l’IoT. Entre la prise de contrôle de l’objet, l’intrusion sur le SI ou l’altération de données collectées, la menace est très sérieuse.
Panorama des enjeux cyber de l’IoT et des mesures à prendre pour protéger le SI.
La photocopieuse, les caméras de vidéoprotection, l’écran d’accueil du hall d’entrée, le distributeur de boisson, le système de chauffage, l’ascenseur… tous ces équipements peuvent potentiellement être raccordés au SI et devenir des «objets connectés».
Ils gagnent ainsi en fonctionnalités, au niveau de leur exploitation et de leur maintenance. Mais revers de la médaille, leur multiplication au sein de l’entreprise augmente d’autant la surface d’attaque pour les cybercriminels. Car la grande majorité de ces équipements IoT ne sont pas sécurisés.
Près de 98% du trafic des objets connectés en environnement professionnel n’est pas chiffré, conclut une récente étude de la société américaine de cybersécurité Palo Alto Networks1.
Et 57% de ces équipements IoT sont vulnérables à des attaques de gravité moyenne à élevée. Parmi les principales causes, des failles découvertes dans leurs firmware qui ne sont pas corrigées.
Pour la DSI, une des principaux problèmes de l’IoT est qu’il échappe bien souvent à sa vigilance, le rapprochant ainsi du Shadow IT. « De nombreux appareils connectés sont introduits dans l’entreprise par des employés ou des prestataires extérieurs en échappant au contrôle de la DSI et donc sans tenir compte de sa politique de sécurité », s’alarme Thierry Karsenti, vice-président EMEA Systems Engineering chez Palo Alto Networks. « C’est une aubaine pour les cybercriminels qui disposent alors de points d’entrée relativement discrets. Car il n’est pas nécessaire d’avoir un accès physique avec ces objets connectés dont bon nombre fonctionnent via des réseaux radio.»
Si la photocopieuse ou l’écran du hall d’accueil sont en général connectés en filaire, d’autres équipements comme les capteurs de température, les alarmes ou même des caméras de vidéoprotection exploitent de plus en plus des réseaux radio IoT. Ces derniers reposent sur des technologies telles que Sigfox, LoRaWan, LTE-M ou NB-IoT (lire L’Informaticien n°193). D’autres protocoles radio sont également exploités comme le M-Bus wireless, le Bluetooth Low Energy, le Zigbee, voire tout simplement une connexion Wi-Fi.
Pour le cybercriminel, il suffit d’être dans le périmètre de communication de ces objets connectés, qui peut dépasser la centaine de mètres, pour tenter une attaque. « Les types de menaces sont multiples. Il y a l’intrusion sur le SI via l’IoT, mais aussi le vol ou l’altération des données collectées, ainsi que des attaques de type DDoS », résume Benoît Grunemwald, expert cybersécurité chez ESET France. L’intrusion ou le vol de données serviront notamment à de l’espionnage industriel ou à une opération malveillante de type ransomware. L’attaque DDoS aura pour objectif de bloquer le fonctionnement des objets connectés ou même du SI. Quant à l’alternation des données, il ne faut pas la sous-estimer, soulignent les experts en sécurité. Elle permet par exemple d’envoyer une alerte de panne et bloquer un ascenseur, modifier le comportement d’une climatisation ou d’un réseau d’éclairage, ou pire : modifier la composition ou la qualité d’un produit sur une chaîne de production.
Ces exemples restent bien entendu très théoriques car peu de cas d’attaques ont été rendus publics. Dans une fiche sur l’IOT, publiée en mars dernier, l’Anssi évoque l’attaque d’un casino en 2018 : « Il s’est fait pirater la base de données de ses plus gros clients. Les pirates ont réussi à y accéder en passant par le thermomètre connecté insuffisamment sécurisé d’un aquarium de l’établissement », indique l’agence nationale. De son côté la société de cybersécurité Darktrace donne d’autres exemples, parfois incongrus. « Ces dernières années, nous avons détecté toutes sortes de menaces IoT étonnantes, comme un casier intelligent compromis dans un parc d’attractions européen. Dans un autre cas, nous avons surpris des pirates qui tentaient d’infiltrer des systèmes de vidéosurveillance connectés à internet pour faire de l’espionnage industriel et obtenir des informations hautement confidentielles dans un grand cabinet de conseil mondial », confie Max Heinemeyer, Directeur Traque et Menace.
Ce qui est certain, c’est que le nombre d’attaques IoT est en augmentation. Entre 2018 et 2019, l’entreprise de cybersécurité Kaspersky a estimé qu’elles avaient été multipliées par neuf au niveau mondial.
Et selon les experts du secteur, il n’y a pas de raison que cette tendance se soit inversée depuis. «Avec le télétravail, le risque IoT présent au domicile des collaborateurs, où il y a aussi des objets connectés, s’est ajouté à celui dans les locaux de l’entreprise», souligne Benoît Grunemwald.
Ces dernières années, nous avons détecté toutes sortes de menaces IoT étonnantes, comme un casier intelligent compromis dans un parc d’attractions européen. Dans un autre cas, nous avons surpris des pirates qui tentaient d’infiltrer des systèmes de vidéosurveillance connectés à internet pour faire de l’espionnage industriel et obtenir des informations hautement confidentielles dans un grand cabinet de conseil mondial
depuis le COVID, le télétravail ... a accentué la fragilisation
LE RETOUR EN FORCE DU PC PORTABLE - OOKAWA Corp. Raisonnements Explications Corrélations
" Il faut remonter dix ans en arrière pour retrouver de tels volumes de vente " À 90%, c'est la crise sanitaire qui est à l'origine de cette croissance du marché du PC. Il n'y a pas eu d'avanc...
http://ookawa-corp.over-blog.com/2021/04/le-retour-en-force-du-pc-portable.html
LE RETOUR EN FORCE DU PC PORTABLE - OOKAWA Corp. Raisonnements Explications Corrélations
l’Anssi évoque l’attaque d’un casino en 2018 : « Il s’est fait pirater la base de données de ses plus gros clients. Les pirates ont réussi à y accéder en passant par le thermomètre connecté insuffisamment sécurisé d’un aquarium de l’établissement »
SEGMENTATION DU RÉSEAU ET IA
Face aux cyberisques de l’IoT : quelles mesures prendre pour protéger son SI ?
La première est de segmenter le réseau, s’accordent à dire l’ensemble des experts en sécurité. « Il ne faut pas qu’un téléviseur puisse discuter avec le réseau téléphonique ou avec le serveur qui contient la paie et la RH », résume-t-on chez ESET. Un avis partagé par Chuck McAuley, principal security engineer, chez Keysight Technologies : « L’une des principales choses à faire pour sécuriser les objets connectés est de limiter la communication avec d’autres réseaux et appareils qui n’ont pas d’autorisation.» Pour cela, il recommande notamment d’utiliser les listes de contrôle d’accès pour «limiter les parleurs», d’utiliser les VPN chaque fois que possible et d’activer des protocoles sécurisés tels que TLS.
Cette segmentation peut être combinée avec des outils d’IAM (Identity and Access Management). « Une couche d’IAM permet d’identifier et authentifier chaque objet connecté afin de pouvoir surveiller son comportement et l’intégrer à la politique de sécurité de l’entreprise », souligne Éric Piroux, Strategic Accounts Director chez Entrust. « Vous savez ainsi que tel à tel objet se connecte à heure, à tel endroit pour envoyer tel type d’informations. S’il ne s’agit pas de son comportement habituel, la plate-forme de contrôle envoie une alerte.»
Une approche défendue également par Alcatel-Lucent Enterprise : « Les appareils IoT sont authentifiés au point de connexion, via le port du commutateur ou le SSID Wi-Fi, et sont associés à un profil basé sur leur identité. Ce profil détermine le segment de réseau virtuel, le VLAN ou VPN, auquel l’appareil est mappé ainsi que l’ensemble des politiques de sécurité et de QoS associées à leur rôle », précise Sébastien Claret, Directeur Business Development.
Pour analyser les comportements des objets connectés, l’Intelligence artificielle est une technologie qui offrirait des atouts indéniables. « L’IA permet de détecter les attaques émergentes mais aussi d’y répondre de manière autonome. Basée sur un apprentissage des comportements “normaux”, l’IA est cruciale pour détecter les attaques inconnues et inédites en matière d’IoT », estime Max Heinemeyer chez Darktrace. Un point de vue partagé par Palo Alto Networks. « Nous intégrons de l’IA dans nos firewalls de dernière génération afin d’identifier des comportements anormaux grâce au machine learning », confie Thierry Karsenti.
L’ÉPINEUSE QUESTION DU CHIFFREMENT
Sans surprise, les acteurs du secteur recommandent un chiffrement de bout en bout des communications IoT. Mais cela n’est pas toujours facile à mettre en place et dépend notamment du type de réseau utilisé. « Le choix du protocole de communication est prépondérant car il peut intégrer ou non un chiffrement natif des messages échangés », souligne Bernardo Cabrera, directeur d’Objenious (Bouygues Telecom). « Par exemple, dans le cas particulier de LoRaWan, les données sont cryptées de façon native en AES 128 ».
Les technologies cellulaires, telles que LTE-M ou NB-IoT, offrent des niveaux de sécurité plus élevés, avec notamment des possibilités de cryptage en AES 256. « Sur un réseau IoT cellulaire, la connectivité offre une authentification réciproque de l’objet et du réseau, un chiffrement du lien, le tout étant basé sur un élément matériel de sécurité : la carte SIM », rappelle Jean-Marc Lafond, directeur du portefeuille IoT d’Orange. De son côté, la technologie Sigfox n’intègre pas de chiffrement sur les données transmises. « Il y a bien un chiffrement, à base d’AES 128, mais il est, par défaut, sur la partie authentification uniquement », confie Christophe Fourtet, co-fondateur et directeur scientifique de Sigfox. « La quasi-totalité des clients n’ont pas de problème avec ça. Soit, crypter la donnée n’a aucun intérêt – pas sensible; soit elle est suffisamment “obscure” pour ne pas avoir besoin d’être cryptée; soit elle est cryptée par le client, dans son container, avec un procédé qui est le sien.»
Selon les experts en sécurité, le plus prudent reste d’ajouter une couche de chiffrement au-dessus des protocoles IoT et de ne pas se reposer uniquement sur eux. « Il faut une surcouche qui va dépasser les problématiques réseau, mais adaptée à l’environnement contraint de l’IoT, c’est-à-dire fonctionnant sur des équipements relativement simples techniquement et qui doivent rester économes en énergie », indique ainsi Hatem Oueslati, CEO et co-fondateur d’IoTerop. Cette jeune pousse propose une solution d’identification et de chiffrement pour les équipements IoT, avec un cryptage en AES 128 ou 256. Elle peut fonctionner sur des équipements animés par un processeur 8 bits, dotés de 5 Ko de RAM et de seuls 30 Ko de mémoire flash. « Cela couvre 90% des équipements IoT », assure-t-on chez IoTerop. Reste que cette solution ne fonctionne pas sur la technologie Sigfox et doit être intégrée par les fabricants de matériel. Une trentaine d’industriels sont déjà clients de la start-up française, dont l’Américain Itron spécialisé dans les appareils de mesure et les compteurs. Des discussions sont en cours pour une intégration encore plus large, notamment par des acteurs français.
METTRE À JOUR LES ÉQUIPEMENTS ET LES MOTS DE PASSE
Les experts en sécurité recommandent également de mettre à jour régulièrement les firmwares des objets connectés, même si cela est complexe lorsque leur volume est très large. Les solutions de supervision d’objets connectés, proposées par les acteurs de l’IoT ou les sociétés de cybersécurité, permettent cependant de lancer des mises à jour massives à distance. Mais sans ce type de plate-forme, une intervention physique sur site est souvent nécessaire, ce qui peut bien entendu s’avérer très laborieux. Dans sa récente fiche sur l’IoT, l’Anssi recommande également de modifier les mots de passe par défaut des objets connectés. « Les mots de passe, codes PIN, etc. générés par défaut par les fabricants sont généralement trop faibles : trop peu de caractères utilisés, faciles à deviner ou publiquement connus, ils n’assurent pas un niveau de sécurité suffisant », souligne l’Anssi.
UNE SITUATION DE MOINS EN MOINS CATASTROPHIQUE
Selon les experts en sécurité, la situation est préoccupante, mais moins qu’il y a quelques années. Globalement, un nombre grandissant d’entreprises prend en compte la problématique de l’IoT dans sa politique de sécurité. Et surtout, les fabricants d’objets connectés ne relèguent plus la cybersécurité au second plan, comme cela était encore le cas récemment, principalement pour des questions de coûts de fabrication. « Les solutions de cybersécurité vont de plus en plus être implémentées dans les équipements IoT », prédit ainsi Hatem Oueslati. « Depuis environ un an, il y a une réelle prise de conscience des industriels. C’était plutôt mal parti au début, mais aujourd’hui la situation évolue dans le bon sens », conclut-il.
1 : Rapport 2020 sur les menaces IoT, publié en mars 2020 par l’Unit 42, division de Palo Alto Networks, sur la base d’1,2 million d’appareils testés aux Etats-Unis.
Nous intégrons de l’IA dans nos firewalls de dernière génération afin d’identifier des comportements anormaux grâce au machine learning
Je sais que c'est une décision hautement controversée. Et je dois avouer ne pas être à l'aise à l'idée d'avoir sorti de l'argent pour en faire bénéficier ces gens-là. C'était la meilleure...
Cybersécurité : une cyberattaque par ransomware qui engendre 4,4 Millions USD de recettes - OOKAWA Corp. Raisonnements Explications Corrélations
Pas besoin de disposer d'un supercalculateur ; avec un puissant PC portable, un programme spécialisé dans les attaques par dictionnaire peut tester 500 millions de mots de passe à la seconde forgot
Authentification : les alternatives biométriques aux mots de passe - OOKAWA Corp. Raisonnements Explications Corrélations
IT Concierge SAS Information Technology services for foreign companies in France
We complement your teams with skilled field techs starting from Network Survey, to your IT Network Deployment, Switch Installation. Network Configuration, Server Installation, We have experience ...
IT Concierge SAS Information Technology services for foreign companies in France
IT Deployments All over France for fast Moving International who Demand Multi-Lingual Experts IT Concierge Local Knowledge & Language Local industry knowledge and Effective Project Management can ...
Leading IT services in France : IT subcontractor - IT remote hands - Network maintenance and repairs on site by IT CONCIERGE in France - OOKAWA Corp. Raisonnements Explications Corrélations
Ça va être inouï tout ce qu'on va découvrir Ulyx, un nouveau sous-marin autonome pour explorer les abysses ! Avec ULYX, 90% des fonds sous-marins sont désormais à portée de l'homme. BIJOU ...
L'exploration des grands fonds sous-marins par le Robot autonome français ULYX : topographie 3D - cartographie- prélevements ... - OOKAWA Corp. Raisonnements Explications Corrélations
L'éditeur Kasperky a indiqué vouloir sortir prochainement son propre système d'exploitation Kaspersky OS lequel est en développement depuis de nombreuses années et qui se veut l'OS des objets ...
Kaspersky OS se veut l'OS des objets connectés. Oui mais ... ! - OOKAWA Corp. Raisonnements Explications Corrélations
Maison intelligente : l'équipe de Revolv rejoint Nest L'écosystème de Nest tarde à se développer. Le rachat de l'équipe de Revolv qui a développé un module universel permettra une montée e...
http://ookawa-corp.over-blog.com/2014/10/maison-intelligente-l-equipe-de-revolv-rejoint-nest.html
Maison intelligente : l'équipe de Revolv rejoint Nest - OOKAWA Corp. Raisonnements Explications Corrélations
Le Web des objets désigne l'intégration de tout appareil interrogeable ou contrôlable à distance, dans le monde du World Wide Web. La création de réseaux d'objets intelligents à grande éche...
http://ookawa-corp.over-blog.com/2018/04/objets-connectes.html
Les Objets Connectés nous conduisent vers le Web 3D (navigation, recherche, étiquetage, mise en cache, liaisons, ...) - OOKAWA Corp. Raisonnements Explications Corrélations
Grandes entreprises technologiques et start-up se sont lancées dans une course pour cartographier le monde en trois dimensions. Leur objectif ? Créer un jumeau numérique qui servira de référen...
La grande course pour cartographier le monde en 3D : vers une carte 3D du monde pour 2030 - OOKAWA Corp. Raisonnements Explications Corrélations
Mira Modi n'a que 11 ans, mais déjà, elle développe son propre commerce : la création de mots de passe sécurisés. Pour la rédaction de son livre Dragnet Nation, abordant la question de la vi...
A 11 ans, elle vend des mots de passe sécurisés pour 2 dollars - OOKAWA Corp. Raisonnements Explications Corrélations