La sécurité de l’Internet des objets n’est pas prise en compte

On prévoit pour 2020 entre 25 et 80 milliards (Idate) d’objets connectés dans le monde. C’est le monde de l’Internet des Objets. Combien d’objets seront-ils sécurisés pour éviter, ou du moins, limiter ce nouvel espace de piratage potentiel ?

Pour Nicolas Godier, Ingénieur avant-vente ProofPoint, « à ce jour, hélas, il n’y a pas de sécurité dans le domaine de l’Internet des objets parce que rien n’a été prévu dès l’origine. On ne s’est pas posé la question, on n’a pas intégré cette philosophie de la sécurité ». Et de constater qu’aujourd’hui le sujet est à l’ordre du jour, non pas par prise de conscience de l’industrie, mais à cause des répercussions médiatiques subies par des industriels comme Fiat Chrysler qui ont du rapatrié 1,2 millions de Jeep Cherockee qui avait fait l’objet d’une simple démonstration de prise de contrôle du véhicule par des ingénieurs. Dans le domaine du produit de consommation courante, comme les « wearables », montres, bracelets, les industriels souhaitant limiter leurs coûts de production évitent d’ajouter la sécurité dans leur plan de production. C’est ainsi que des hackers ont réussi à transformer des réfrigérateurs connectés en véritables « botnets » pour envoyer des milliers de pourriels. En janvier 2014, Proofpoint a révélé que des pirates utilisaient des réfrigérateurs connectés pour lancer une campagne de pourriels. Autre exemple : la poupée « Hello Barbie, une Barbie dotée d’une forme d’intelligence artificielle, qui peut interagir avec des enfants en leur posant des questions et mémoriser leurs réponses – sur le principe de Siri dans son iPhone. Imaginez ce qu’une personne mal intentionnée pourrait faire en influençant une ou un mineur.

« Il n’y a pas de consensus sur l’implémentation de la sécurité dans les objets connectés. Il existe des objets connectés qui son proposés sur le marché et qui ne sont pas forcément « sécurisables » affirme Nicolas Godier. En effet, rien n’est prévu pour télécharger de mise à jour, de téléchargement de patches sécuritaires. « On ne peut upgrader un réfrigérateur ou une caméra IP. « Nous avons un gros problème, parce que nous avons démarré avec des objets où la sécurité n’a pas été pensé pour être intégrée, aujourd’hui on se rend compte qu’on court vers, j’allais dire, un drame, un terme un peu fort, mais on a déjà des effets et il y en aura d’autres plus importantes. Hélas, on ne peut pas revenir en arrière et c’est très, très compliqué d’implémenter cette sécurité à postériori ».

Dans les problèmes de sécurité de l’Internet des objets, il existe au moins dix faiblesses en termes de sécurité :

1   Interface Web non sécurisé
2   Authentification / autorisation insuffisantes
3   Insécurité des Network Services
4   Manque de cryptage du Transport
5   Questions concernant la confidentialité
6   Interface Cloud non sécurisée
7   Interface mobile non sécurisée
8   Configuration insuffisante de la sécurité
9   Insécurité Software / Firmware
10   Manque de sécurité physique

On peut rajouter à la liste les mots de passe communiqués à l’achat ou créés par l’utilisateur et qui ne sont pas changés régulièrement.

Les hackers s’intéressent à toute la chaîne et repère le point faible qui leur permettra de gagner de l’argent. Dans cette chaîne que trouve-t-on ? Les informations transitant par l’Internet sont stockées dans le Cloud ce qui pose la question de la protection de ces données. Dans le cas de la prise de contrôle, par un ingénieur, de la poupée Barbie*, on peut obtenir des informations sur l’intimité des parents données par l’enfant qui peut parler de choses intimes, de ses parents… Toutes ces données sont stockées sur le Cloud. « Lorsqu’on achète un objet connecté, personne ne sait où les données transmises sont stockés, sur quel Cloud ? Dans quel pays ? Pour un hacker il est plus intéressant de capter les données de l’objet connecté stockées sur le Cloud plutôt que de hacker l’objet lui-même » précise l’ingénieur de ProofPoint. Et d’affirmer « c’est dans le « data storage » que les hackers vont focaliser leur intérêt ».

Que préconise Proofpoint pour lutter contre les menaces produites par l’Internet des Objets ? « Il y a peu de personnes qui nous interrogent sur ces sujets. Les entreprises ne semblent pas trop conscientes des menaces, dans la mesure où l’IdO apparaît comme un sujet qui concerne le Grand public » avoue Nicolas Gordier.

Les équipes de proofpoint travaillent beaucoup aujourd’hui sur le e-mail, les réseaux sociaux et les applications sur smartphones :

– Le email qui est le vecteur privilégié des attaques pour près de 90 % des attaques.

– Le réseau social, parce qu’aujourd’hui, tout ce que l’email perd en parts de marché criminel, est récupéré par les réseaux sociaux. C’est ce qui monte en puissance. La question qui se pose est : comment les hackers arrivent à utiliser les réseaux sociaux pour gagner de l’argent ? Un exemple dans la sphère bancaire aux Etats-Unis. Les clients, en particulier les jeunes sont habitués à utiliser Twitter pour communiquer avec le service clientèle. Ils privilégient le week-end pour poser une question dans cette période où le service dispose de beaucoup moins de responsables et la réponse prend plus de temps à être communiquée. Des hackers créent de faux comptes twitter en tout point semblable à celui de la banque du client. Mais, eux vont répondre très vite à la question posée. Mis en confiance, le client va délivrer suffisamment d’informations sur son compte pour qu’il soit détourné par les pirates.

Sur ce thème, Proofpoint a annoncé fin décembre 2015, la première solution qui identifie les menaces sur le réseau social Instagram.

– Les applications malveillantes. L’une des solutions consiste à observer le fonctionnement de ces applications, au niveau des demandes sur la géolocalisation, les informations personnelles du demandeur… Ces informations seront transmises aux entreprises clientes de ProofPoint. Il y a de plus en plus d’applications malveillantes, ce qui oblige à une analyse de ces offres. Avec l’utilisation du MDM (Manager Data Management), on peut révéler les personnes à risque, et supprimer des applications ou encore déconnecter les smartphones du réseau, etc.

* voir : http://www.huffingtonpost.com/entry/hello-barbie-security-concerns_565c4921e4b072e9d1c24d22

Poster un commentaire

Classé dans Internet des Objets

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s