L’Internet des objets offre de fortes opportunités pour la cyber criminalité

C’est ce qu’affirme le FBI qui a mis en garde les entreprises et le grand public. L’agence fédérale les incite à prendre conscience des vulnérabilités des objets connectés que les cybercriminels pourraient exploiter. Dans un avis, le FBI publie quelques conseils pour atténuer ces risques.

Pour le FBI, l’Internet des objets rassemble toute une gamme de produits comme :

• Les dispositifs automatiques qui ajustent à distance ou automatiquement l’éclairage ou CVC ;

• Les Systèmes de sécurité, comme les alarmes de sécurité ou de caméras Wi-Fi, y compris les moniteurs vidéo utilisés dans les pépinières et les garderies ;

• Les dispositifs médicaux, tels que les moniteurs cardiaques sans fil ou des distributeurs d’insuline

• Les thermostats ;

• Les accessoires vestimentaires (Wearables) comme les appareils de fitness ;

• Les Modules d’éclairage qui activent ou désactivent les éclairages ;

• Appareils « intelligents », comme les réfrigérateurs et les téléviseurs ;

• Le Matériel de bureau, comme les imprimantes

• Les appareils de divertissement pour contrôler la musique ou la télévision à partir d’un appareil mobile ;

• Les systèmes de surveillance de carburant.

Quels sont les risques de l’IdO ?

Les capacités insuffisantes de sécurité et les difficultés pour colmater les brèches (patcher) dans ces dispositifs, ainsi qu’un manque de sensibilisation à la sécurité des consommateurs, fournissent aux acteurs de l’Internet des possibilités d’exploiter ces appareils. Les criminels peuvent utiliser ces possibilités pour faciliter les attaques à distance sur d’autres systèmes, envoyer des e-mails malveillants, voler des informations personnelles, ou interférer avec la sécurité physique.

Les principaux risques IdO comprennent :

• Une exploitation de l’Universal Plug and Play protocole (UPnP) pour avoir accès à de nombreux dispositifs IdO. L’UPnP décrit le processus lorsqu’un périphérique se connecte à distance et communique sur un réseau automatiquement, sans authentification. UPnP est conçu pour l’autoconfiguration lorsqu’il est attaché à une adresse IP, le rendant vulnérable à l’exploitation. Les acteurs de la Cyber peuvent modifier la configuration, et exécuter des commandes sur les appareils, les dispositifs permettant potentiellement de récolter des informations sensibles ou conduire des attaques contre les domiciles et les entreprises, ou se livrer à l’espionnage numérique ;

• Une exploitation de mots de passe par défaut pour envoyer des e-mails malveillants, ou voler des informations personnelles ou des cartes de crédit ;

• Compromettre le dispositif IdO pour causer un problème matériel ;

• Surcharger les dispositifs pour rendre l’appareil inutilisable ;

• Interférer avec les transactions commerciales.

Quels risques pourraient-ils vous concerner ?

Les objets connectés peu ou pas du tout sécurisés offrent des opportunités pour les cybercriminels de pénétrer des réseaux privés et accéder à d’autres dispositifs et des informations liées à ces réseaux.

Les objets avec des mots de passe par défaut ou d’ouvrir des connexions Wi-Fi sont une cible facile pour les acteurs de la cyber à exploiter.

Des exemples de ces incidents :

• Des caméras de video-surveillance dont la sécurité est mal configurée, que ce soit dans des entreprises ou à domicile peuvent être piratées par les cyber-criminels qui vont profiter de ces lacunes de sécurité. Par exemple, un cambrioleur peut s’aventurer sur un site après avoir constaté le l’absence de ses occupants et la valeur des objets qui s’y trouvent. Comme parade il est nécessaire que tous les mots de passe par défaut doivent être changé dès que possible par un mot de passe fort et disposer d’un pare-feu.

• Les courriels et les attaques de spam ne sont pas seulement envoyés depuis des ordinateurs portables, ordinateurs de bureau, ou des appareils mobiles. Les criminels utilisent aussi des routeurs de réseaux du domicile (box internet), les téléviseurs et les appareils avec des connexions réseau sans fil, comme vecteurs de courrier électronique malveillant. Les appareils concernés sont généralement vulnérables parce que le mot de passe par défaut de l’usine est encore en usage ou le réseau sans filn’est pas sécurisé.

• Les criminels peuvent également accéder à des appareils non protégés utilisés par les personnels effectuant des soins de santé à domicile, tels que ceux utilisés pour recueillir et transmettre des données de surveillance personnelle ou les horaires de distribution des médicaments. Une fois que les criminels ont violé ces dispositifs, ils ont accès à des informations personnelles ou médicales stockées sur les périphériques, et ils peuvent éventuellement modifier le codage de la commande de la distribution de médicaments ou de collecte de données de santé. Ces dispositifs peuvent être à risque si elles sont capables de connectivité à longue distance.

• Les criminels peuvent également attaquer les dispositifs critiques de l’entreprise connectés à l’Internet comme les systèmes de surveillance sur les pompes à essence. Grâce à cette connexion, les criminels pourraient entraîner la pompe à enregistrer des niveaux incorrects, créant soit une fausse pénurie d’essence ou permettre à un véhicule de ravitaillement de faire déborder dangereusement les réservoirs, créant un risque d’incendie, ou encore d’interrompre la connexion au système de point de vente permettant au carburant être dispensé sans enregistrement d’un paiement.

Pour lutter contre ces menaces, le FBI préconise des mesures comme : connecter les objets sur leur propres réseaux protégés, désactiver l’UPnP sur les routeurs ; s’équiper d’objets connectés sécurisés et autre mesures qui tiennent compte aussi de l’information aux utilisateurs sur les risques encourus et les moyens d’y remédier.

Pour accéder au site du FBI
http://www.ic3.gov/media/2015/150910.aspx

1 commentaire

Classé dans International, Objets connectés

Une réponse à “L’Internet des objets offre de fortes opportunités pour la cyber criminalité

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s