« La déferlante des objets connectés dans l’entreprise : le paradis des hackers

« La déferlante des objets connectés dans l’entreprise : le paradis des hackers

Par Hervé DHELIN, EfficientIP  

L’omniprésence  des  services,  objets  connectés  et  des  capteurs  en  entreprise  (caméras  de  surveillance,  portiques  d’entrée,  serveurs,  logiciels,  imprimantes  ou  climatiseurs)  pose indéniablement un sérieux problème de sécurité. Connectés en permanence, ces objets sont exposés à tous les risques d’Internet. Cependant, en étant non-­‐sécurisés ou en ne disposant généralement que d’un niveau de sécurité encore très faible, ils représentent une cible de premier  choix  pour  les  pirates  informatiques  et  sont  de  réels  vecteurs  d’attaques  pour  récupérer des données sensibles ou mettre à mal le système informatique d’une entreprise.

L’origine du problème 

La majorité des nouveaux objets connectés présents en entreprise sont développés par des constructeurs non spécialistes des problèmes de sécurité informatique et difficilement gérés par  le  pôle  de  sécurité  de  l’entreprise.  Les  concepteurs  ne  pensent  pas  forcément  à  fortement  sécuriser  les  objets  qu’ils  développent,  n’imaginant  pas  qu’ils  puissent  être  la source de cyberattaques. Dans son dernier rapport intitulé IBM 2015 Cyber Security Intelligence Index, IBM dresse un panorama  global  des  incidents  et  cyber-­‐attaques  traités  par  ses  services  opérationnels.  Parmi les statistiques publiées, on y apprend par exemple que plus de 30% des attaques et autres incidents de sécurité sont d’origine interne.

Des vecteurs de cyberattaques… 

Par définition, les objets connectés sont capables de collecter, traiter, mettre en forme et transmettre des données ; des fonctionnalités qui constituent une véritable valeur ajoutée pour des personnes malintentionnées. Cela, les hackers l’ont bien compris. D’après une étude IDC, au cours des deux prochaines années, 90% des réseaux informatiques auront subi au moins une brèche liée à l’Internet des Objets.

Mais  alors,  comment  les  pirates  informatiques  peuvent-­‐ils  mettre  à  mal  l’infrastructure  d’une entreprise via les objets connectés ? Différentes portes d’entrées s’offrent à eux pour y parvenir :

Le vecteur d’attaque interne

La  faible  sécurisation  de  ces  nouveaux  équipements  et  autres  objets  connectés  -­‐  professionnels  ou  personnels  -­‐  représente  une  véritable  opportunité  pour  les  hackers.  En effet,  un  collaborateur  qui  utilise  son  smartphone  ou  sa  tablette  peut  permettre  à  une  personne  extérieure  d’avoir  un  point  d’accès  à  l’entreprise.  Cette  personne  peut  ensuite utiliser ce vecteur d’attaque pour tenter d’accéder aux informations locales ou profiter de ce support pour cibler les parties sensibles de l’infrastructure. Les premières attaques émises à partir de caméras de surveillance connectées ont été établies.

Le vecteur d’attaque externe

D’après  une  étude  sur  le  marché  de  la  cybersécurité  menée  par  PricewaterhouseCoopers  (PwC), le nombre de menaces externes augmente et proviendrait de fournisseurs (+32%) et prestataires  de  service  (+30  %).  Cette  recrudescence  de  cyberattaques  s’expliquent  simplement : les entreprises travaillent de plus en plus en collaboration avec des partenaires externes, participant ainsi à l’expansion de la surface d’attaque. Si un partenaire est affaibli par une cyberattaque, l’entreprise en subit les conséquences.

L’utilisation des protocoles DNS pour pirater des données

Enfin, un autre objectif des hackers c’est le vol des données.

Lorsqu’un  collaborateur  se  rend  sur  un  site  institutionnel  ou  grand  public,  l’ensemble  des  requêtes transitent par un serveur DNS de façon transparente pour les utilisateurs, mais un malware installé sur un PC pourra au travers du protocole DNS exfiltrer des données petits bouts  par  petits  bouts.  Comme  la  donnée  volée  est  encapsulée  dans  le  protocole  DNS  la  quasi totalité des outils de sécurité ne verront rien puisque le protocole DNS paraît légitime et la sortie de données obligatoire pour obtenir une réponse d’un serveur DNS.

… aux conséquences désastreuses pour l’entreprise

Si  le  système  d’information  de  l’entreprise  est  attaqué,  tous  les  objets  connectés  sont  paralysés  :  portes,  caméras,  ordinateurs,  imprimantes…  En  effet,  l’indisponibilité  des données  et  des  services  ainsi  que  la  perte  définitive  des  données  sont  les  principales  conséquences  de  ce  manque  de  protection.  Ceci  engendre  inévitablement  un  risque économique (ex. : perte d’exploitation liée à l’indisponibilité d’un site web marchand par un déni  de  service  le  rendant  inaccessible).  Au-­‐delà  de  cela,  un  piratage  nuit  fortement  à  l’image de l’entreprise.

Etre une entreprise « multi-­‐connectée » dans un monde régi par les datas impose de veiller à la sécurisation de tous les outils connectés et surtout à une vraie sensibilisation auprès de leurs concepteurs, pour se prémunir des cyberattaques.