Les évaluations menées par Digital Security sur près de 100 solutions connectées offrent une visibilité complète sur la prise en compte des enjeux de cybersécurité par le marché de l’IoT.
Transport et logistique, domotique, bien-être et santé, villes connectées et sureté : Digital Security a évalué la sécurité globale de près de 100 solutions de l’Internet des Objets intégrant des technologies innovantes.
Les évaluations prennent en compte tant la sécurité logicielle et matérielle des objets connectés que l’audit des applications et des services d’appui associés permettant de réaliser la solution connectée.
Les résultats montrent un écart important entre les besoins et les mesures de sécurité mises en place par les constructeurs.
« Indépendamment des secteurs d’activités, la sensibilité à la cybersécurité varie beaucoup d’une entreprise à une autre, laissant parfois le champ libre à l’innovation à tout prix au détriment de mesures essentielles pour la sécurité des données et des utilisateurs », renchérit Jean-Claude Tapia, Président de Digital Security.
Le Top #5 des vulnérabilités les plus fréquemment rencontrées sur les objets connectés
#1 : Mises à jour non sécurisées : absence de chiffrement et de signature pour les mises à jour des micrologiciels ;
#2 : Utilisation de secrets par défaut : définition de clés et de mots de passe connus en environnement de production ;
#3 : Communications non-sécurisées : absence ou faiblesse du chiffrement et du contrôle d’intégrité par signature numérique sur les communications ;
#4 : Stockage de données en clair : absence de chiffrement sur le stockage local des données ;
#5 : Présence des interfaces de débogage : possibilité de prendre le contrôle des composants matériels de l’objet.
IoT et sécurité : un couple encore maudit ?
C’est la question posée par ESET, pionnier en matière de détection proactive des menaces véhiculées par l’Internet, aujourd’hui leader dans ce domaine et classé 5e éditeur mondial dans le dernier rapport du Gartner Group.
Les objets connectés sont de plus en plus utilisés par les cybercriminels pour former des réseaux de botnet. Il n’y a pas de segmentation des cibles : les IoT (Internet of Things – Internet des Objets) des particuliers sont autant ciblés que ceux des professionnels. Une fois que l’objet connecté est piraté, il agit comme un zombie et dépend des commandes reçues par l’attaquant.
Après l’attaque d’OVH en septembre 2016 et celle du serveur DNS Dyn la même année, en 2017, force est de constater que les attaques augmentent et les techniques progressent. Le malware Mirai utilisé pour corrompre des IoT se fait doubler par Hajime, un logiciel malveillant aux mêmes fonctions, mais plus puissant. À l’échelle mondiale, 100 000 IoT seraient infectés par ce malware. Chaque mois, de nouvelles cyberattaques DDoS apparaissent. « Nos chercheurs relèvent qu’un botnet P2P de 2003 a été mis à jour pour s’adapter aux nouveaux agents connectés. Il semblerait que les botnets autrefois sur ordinateurs se dirigent vers les mobiles… Et prochainement sur les objets connectés. » explique Benoit Grunemwald, Directeur des opérations ESET France.
La sécurisation des IoT : négligence des constructeurs ?
Les constructeurs d’IoT concentrent leurs efforts sur la technologie de leur appareil. Les coûts de fabrication de la plupart d’entre eux sont faibles, permettant ainsi de proposer un produit accessible au public. Administrer des systèmes de sécurité dans ces appareils est long, coûteux et compliqué. Or, les constructeurs veulent rentabiliser rapidement la commercialisation de leur IoT. « La partie sécurité n’est donc généralement pas prise en compte. Heureusement, tous ne sont pas dans ce cas de figure. » souligne Benoit Grunemwald et de poursuivre « Nous sommes dans une chaine et si les constructeurs doivent bien entendu prendre leurs responsabilités, il en est de même pour les éditeurs et les utilisateurs. »
Toute la périphérie de l’IoT va donc devoir se modifier pour s’adapter à l’IoT. Et de la même façon que les entreprises ont accompagné le BYOD, elles vont devoir accompagner l’essor de l’IoT.
« D’ici 2018, IDC prévoit que 34% des dépenses en sécurité se feront sur la protection des données à caractère personnel. À cette date, chaque particulier disposera au total d’une trentaine d’objets connectés : smartphone, voiture connectée, montre, réfrigérateur, box, jouet pour enfants… »
Quelles solutions pour se prémunir des attaques ciblant les IoT ?
« Chiffrer à tous les étages, anticiper les attaques avec le Big Data ou encore utiliser des protocoles propriétaires » répond Michael Bittan, et d’ajouter « Il faut également créer des normes spécifiques aux objets connectés. A ce jour, aucun fabricant ou acteur majeur de l’IoT n’en a fait la demande, mais l’apport de telles normes serait salutaire car elles homogénéiseraient les mesures et protocoles à mettre en oeuvre, permettant ainsi une meilleure sécurisation de l’ensemble de l’IoT. »
Au-delà des normes, aucune réglementation n’oblige les constructeurs à mettre en place des mesures de sécurité sur les IoT. Et pourtant, « Une règlementation est essentielle pour le développement de d’un l’IoT sécurisé » confirme Benoit Grunemwald. Des réflexions en ce sens sont notamment poussées par l’ENISA, l’agence européenne pour la sécurité des réseaux et de l’information. Cette dernière s’est en effet associée à des industriels, Infineon, NXP et STMicroelectronics, pour élaborer une position commune sur la sécurité des objets connectés, qui se veut un « reflet des préoccupations de l’industrie ».
L’ENISA propose de mettre en place un label européen à partir de normes techniques reconnues, comme la directive NIS ou encore le RGPD. Elle veut également accompagner et aider les industriels qui souhaiteraient mettre en place des solutions de sécurité plus élevées pour leurs objets connectés. Tout cela au travers d’une politique d’incitation, en valorisant les entreprises qui se mettraient aux normes et qui respecteraient le futur label, tant dans la communication que financièrement. Une initiative partagée par l’ANSSI dont le Délégué Général, Guillaume Poupard a rappelé son soutien à cette mesure et à réaffirmé que la certification et l’étiquetage des objets connectés est une nécessité.
Au-delà de la règlementation, les solutions de threat intelligence ou encore la sécurisation du réseau sont indispensables. Par ailleurs des solutions existantes peuvent être adaptées et transposées pour accompagner la sécurisation de l’IoT « Ces solutions sont simples à développer mais ne le sont pas suffisemment et pour autant, elles permettraient de réduire la surface d’attaque. » souligne Benoit Grunemwald et de préciser « Nous avons des solutions chez ESET que nous transposons pour répondre aux enjeux de nos clients dans l’univers de l’IoT. Nous avons par exemple déployé une solution d’analyse réseau basée sur de l’intelligence artificielle pour détecter des communications non sécurisées. Cela permet d’identifier les IoT à risque aussi bien dans un environnement BtoB que BtoC. » Outre Atlantique, à l’automne dernier, Bruce Schneier, directeur technique d’IBM Resilient, a lancé lui aussi un appel à la régulation devant les parlementaires américains, réclamant que les autorités imposent des réglementations. Il affirmait « un échec fondamental du marché » qui a « donné la priorité aux fonctions et aux coûts au détriment de la sécurité ». Devant l’ampleur des enjeux, la seule solution, selon lui, était d’imposer des normes strictes et claires. Un appel visiblement entendu par les législateurs américains qui viennent de se saisir de la question.
Sécuriser l’Internet des Objets signifie surveiller au moins 10, voire 100 fois plus d’appareils physiques, de connexions, d’authentifications et d’événements de transfert de données qu’aujourd’hui (source : Forrester)
Cinquante solutions de sécurité
C’est le nombre moyen dont les gestionnaires de risque des grandes entreprises déclarent posséder. Alors un tel arsenal est-il nécessaire ? Ne révèle t-il pas un empilement des solutions à défaut d’une sécurité intégrée by design ? Selon notre expert ESET, si la sécurité by design ou by default permet d’éviter un millefeuille de solutions qui laissent des « trous » et donc de potentielles failles de sécurité apparaitre, face à la multitude et aux multiples visages des cyber attaques, cinquante solutions de sécurité au coeur d’une grande entreprise n’est pas une aberration. « Cela doit néanmoins s’inscrire dans une stratégie cyber globale définie comme l’une des priorités de la direction générale, et être accompagnée d’une analyse des risques autant que d’experts d’un niveau de ressources humaines adapté pour mettre en scène, en harmonie et en efficacité cet équipement. » précise Benoît Grunemwald.
Un équipement déployé qui semble donc peu adapté face aux cybermenaces potentielles générées par l’IoT. « Les solutions dédiées sont en effet peu nombreuses. En revanche, celles qui sont adaptables sont nombreuses ! » prévient-il.
Une approche différente reste toutefois partagée par Micheal Bittan qui recommande lui, d’« utiliser des équipements ou des compléments sur-mesure, plutôt que des solutions pré-IoT. Les entreprises doivent envisager de se doter de technologies sûres et totalement nouvelles, conçues spécialement pour l’IoT. »
Deloitte émet de nombreuses recommandations pour que l’enjeu stratégique de l’IoT pour les entreprises tienne toutes ses promesses ; notamment, de travailler à la définition de standards d’interopérabilité. « Adhérer à un seul et unique standard ou s’impliquer activement auprès de consortiums afin de développer un ensemble de standards peut permettre aux dispositifs d’un réseau de communiquer et travailler de concert en toute sécurité et efficacité. » souligne Michael Bittan et d’appeler de ses voeux « Il importe donc que chaque entreprise qui cherche à capter de la valeur de la technologie IoT mette en place une gouvernance régissant le recueil des données (quelles données ? par qui ? et comment les utiliser ?) pour limiter certains effets d’une violation. Par ailleurs, définir des responsabilités claires afin que chaque partie prenante comprenne les siennes et ce qui lui incombe de protéger peut améliorer la protection du système. La présence de couplages lâches au sein du réseau permettra également de garantir qu’une attaque localisée ne se propagera pas. » et de conclure « Face à de tels défis, les entreprises vont devoir allier sécurité, vigilance et résilience. »