Les menaces liées aux objets connectés : enjeux et perspectives

Filtrer par catégorie :

09 Janvier 2017 by Christophe Baland
synthese_menaces_iot
L’hyper-connectivité de la société actuelle laisse envisager de nouvelles menaces et de nouveaux scenarios d’attaques. L’Internet des Objets soulève donc de nouveaux défis en termes de sécurité qu’il convient d’étudier dès à présent pour ne pas se retrouver démuni face aux attaques possibles. A cet effet, nous présenterons brièvement plusieurs scenarios prospectifs à des échelles différentes afin de mieux cerner les risques encourus.


 

The « Internet of Threats » : quand les nouvelles technologies deviennent un danger

La sécurité de l’Internet des Objets est aujourd’hui comparable à celle des débuts d’Internet : chiffrement inexistant, peu de prise de conscience des vulnérabilités et des attaques possibles, faible maturité. Pourtant, le matériel et les connaissances pour mettre en œuvre des attaques à la complexité croissante sont de plus en plus faciles à obtenir.

C’est notamment le cas des nombreux objets connectés communiquant par radiofréquence : le matériel ne coûte presque plus rien et les connaissances se diffusent largement. Bien souvent, les constructeurs négligent la sécurité de leurs objets, ce qui amène à des failles exploitables dans des ampoules ou des cadenas connectés. Le chercheur en sécurité Renaud Lifchitz, expert chez Digital Security, a ainsi démontré la faiblesse des implémentations de chiffrement sur certains cadenas, qui ouvrent ainsi la possibilité de retrouver des identifiants ou mots de passe en clair. Des informations sensibles sont même parfois codées en dur.

La nature même des objets qui sont connectés par les fabricants modifie la teneur des données générées. Ainsi, des bracelets connectés ou des équipements domotiques produiront des données sensibles et compromettantes en cas de piratage. Il en va de même pour la smart city qui peut connaître d’importantes perturbations dans ses infrastructures et services en cas d’acte malveillant. Les systèmes industriels ne sont pas épargnés, en témoigne l’attaque contre une aciérie allemande en 2015 qui a causé d’importants dégâts sur fond d’espionnage industriel.

Le manque de sécurité peut s’expliquer notamment par le paradigme de l’innovation qui pousse les constructeurs à développer et produire rapidement des objets, faisant passer la vitesse d’arrivée sur le marché avant les problématiques de sécurité. Ces lacunes deviennent critiques quand elles mettent en jeu la vie des utilisateurs de ces objets, notamment ceux du secteur médical. Un pacemaker connecté piraté à distance peut ainsi entraîner la mort de son porteur. Les données médicales traitées par les hôpitaux – qui utilisent de plus en plus du matériel connecté – risquent également de se retrouver dans la nature.
Dans le domaine militaire aussi l’Internet des Objets se fait une place : drones de reconnaissance ou d’attaque, capteurs en tous genres dans le matériel, lunettes de fusil connectés ; le soldat devient une extension du réseau. Les enjeux de sécurité se déportent alors de l’individu vers le groupe, et même vers la nation entière.


 

Scenarios

Chez les particuliers

Pour le particulier, les risques sont de plusieurs ordres, mais concernent principalement le vol de ses données personnelles ou l’atteinte à son intégrité physique. Voyons deux scenarios possibles à l’encontre des individus.

Le premier scenario envisageable est celui du cambriolage d’une maison utilisant des dispositifs connectés. Une serrure connectée, par exemple, peut assez facilement être piratée pour s’ouvrir. Les configurations par défaut, les failles dans le chiffrement, les interfaces d’administration non protégées ou les badges clonables sont autant de vulnérabilités qui facilitent le travail d’un cambrioleur. D’un point de vue des assurances, le manque de preuve d’une effraction avérée peut d’ailleurs poser de véritables problèmes.

Le deuxième scenario à envisager est celui du piratage d’une voiture connectée. Si l’intelligence artificielle intégrée dans les véhicules est réputée pour en améliorer la sûreté, la connectivité en revanche, si elle est mal sécurisée, peut ouvrir des portes pour le contrôle de l’automobile. La voiture peut ainsi être déviée de sa trajectoire (sans que le conducteur puisse intervenir) pour créer un accident et commettre ainsi des meurtres ciblés et potentiellement indétectables. Dans le cadre d’actions terroristes, un véhicule piloté à distance et chargé d’explosif pourrait servir à commettre des attentats meurtriers sans nécessité d’une présence physique à bord.

 

Dans les entreprises : une nouvelle porte d’entrée sur le SI

Dans le cadre de l’entreprise, les objets connectés n’apportent pas tant des menaces inédites en tant que telles, mais bien plus des surfaces d’attaques nouvelles. Qu’ils soient amenés par les employés ou par l’entreprise elle-même, ces objets ne sont pas sans risque.

La première menace est celle qui réside dans l’exfiltration de données confidentielles de l’entreprise par un objet connecté apporté par un employé. Ces périphériques n’étant pas conçus pour l’entreprise, ils ne suivent presque jamais la politique de sécurité du SI, malgré le fait qu’ils peuvent se connecter au réseau de la société. Il est facile alors pour un malware de récupérer des données sensibles dans le cadre d’une attaque d’intelligence économique ou d’espionnage industriel. La problématique est la même que pour les téléphones mobiles à leur apparition et que pour la vague du BYOD.

Ces solutions connectées peuvent également appartenir à l’entreprise elle-même. Imaginons par exemple un système de climatisation connecté dans la salle serveur qui, en cas de piratage, pourraient laisser la température s’élever anormalement et ainsi causer des dégâts aux machines. Si l’objectif pour le pirate est de s’introduire dans les locaux, l’utilisation de « badgeuses » connectées lui permettrait d’exploiter une faille dans les protocoles de communication de manière à pénétrer dans le bâtiment. Une ampoule connectée qui garderait le mot de passe Wi-Fi en mémoire, un robot-aspirateur qui connaîtrait les plans des locaux et les heures de présence des employés ou encore une télévision intelligente équipée d’un micro en salle de réunion sont autant de portes d’entrée dans l’entreprise ou son système d’information.

 

A l’échelle étatique : cyberguerre et terrorisme

Les menaces liées aux objets connectés existent à l’échelle étatique, qu’il s’agisse d’actions de groupes isolés ou de cyberguerres entre nations. Nous proposons deux scenarios pour l’illustrer.

Des attaques organisées contre des sites Internet représentant le gouvernement d’un État adverse ne sont pas une méthode récente, en témoigne le conflit entre la Chine et le Japon autour des îles Senkaku où des groupes de hackers patriotiques chinois ont pris pour cible des sites institutionnels japonais. La nouveauté résideraitplutôt dans l’attaque d’infrastructures physiques, critiques de préférence, telles que des centrales électriques. Le 23 décembre 2015, des pirates russes sont ainsi parvenus à plonger plus de 600 000 personnes dans le noir en Ukraine en piratant une centrale électrique. Les aéroports pourraient également être une cible de choix pour les attaquants, immobilisant de fait les avions.

Le détournement de drones civils constitue la deuxième menace que nous choisissons de présenter dans cet article. Plusieurs usages peuvent être fait de ces engins, tel que le passage de drogue au-dessus de la frontière américano-mexicaine par les cartels. Des drones de la douane américaine ont ainsi été piratés en janvier 2016, parmi d’autres actions de cybercriminalité menées par les cartels. Les drones peuvent également être utilisés pour lâcher des explosifs dans une foule, sur une personnalité publique ou sur une infrastructure critique, dans le cadre d’une action terroriste. L’utilisation de drones pour des opérations de reconnaissance en vue de la préparation d’une attaque ont également été avérées, notamment en Syrie par l’État islamique.


 

Conclusion

La sécurité de l’Internet des Objets est donc un enjeu majeur pour la protection des données et la sûreté des personnes, tant pour les particuliers que pour les entreprises ou les États. L’intégration de plus en plus profonde de la technologie dans les sociétés fait que les risques sont maintenant physiques et que la vie d’individus est en jeu. A l’heure de l’informatique ubiquitaire et de la dissémination des dispositifs informatiques, la réponse de sécurité doit se faire en des termes holistiques. Trop peu d’acteurs s’impliquent aujourd’hui concrètement dans le développement de solutions de sécurisation de l’IoT. Les normes, notamment, qui permettraient d’unifier les pratiques de sécurité, viennent à manquer. Les menaces liées aux objets connectés pèsent de plus en plus et devraient être contenues par des mesures prises par les parties prenantes des domaines impliqués par l’Internet des Objets.


Cet article est la synthèse de l’article de fond paru dans l’OSIDO du mois de juillet / août 2016.