Synthèse du guide de l'ENISA sur la sécurité de la maison connectée

Filtrer par catégorie :

16 Juin 2016 by Julia Juvigny
Julia Juvigny

Définie par l’Enisa comme un espace intégrant des appareils et des systèmes intelligents interconnectés, la « maison intelligente » se positionne en successeur de la domotique. Un marché qui devrait générer un chiffre d'affaires de 300 millions d'euros en 20171.Au Consumer Electronic Show (CES) de las Vegas, la maison connectée avait le vent en poupe : les visiteurs ont eu le vertige devant la pléthore de dispositifs domotiques exposés, du frigo aux serrures connectées. Reliés au réseau domestique (Home Area Network) ou directement à Internet, ces appareils fonctionnent avec différents types de protocoles de communication et réseaux (HAN, WAN, Wi-Fi, LPWAN) par lesquels sont transférés les données entre l’utilisateur et l’objet connecté.

« Les objets connectés sont particulièrement bavards et c’est l’un des premiers vecteurs d’attaques » selon Yassir Kazar, co-fondateur de la plateforme de Bug Bounty Yogosha. Leur interdépendance est en effet une source de vulnérabilités qui permet aux hackers de prendre facilement le contrôle d’un appareil intelligent, mais également de l’ensemble du réseau sur lequel il se situe. Alors que les implications en termes de sécurité et de protection de la vie privée ne sont pas toujours évidentes pour les développeurs et les utilisateurs, elles peuvent pourtant avoir de vraies répercussions sur la vie, la santé et la sécurité des habitants.

Dans l’optique de sensibiliser tant les industriels que les utilisateurs d’objets connectés, l’Agence Européenne chargée de la sécurité des réseaux (ENISA), a publié en décembre 2015 un rapport sur la sécurité de la maison connectée, auquel a pu participer Digital Security. Intitulée Security and resilience of Smart Home Envrionments, ce rapport propose une approche holistique de la sécurité. L’ENISA y décrit les bonnes pratiques à adopter pour améliorer la sécurité des objets connectés, de leur conception à leur fin de vie. Premier guide publié à l’échelle européenne dans ce domaine spécifique2,il s’inscrit dans la stratégie de l’ENISA de sensibiliser les professionnels et les futurs consommateurs sur les dangers des objets connectés. Pour rappel, un premier document cartographiant les menaces sécuritaires de la maison connectée avait déjà été édité en décembre 20143.
 

L'insécurité des objets connectés ou "l'effet boule de neige"

On parle souvent d’effet « boule de neige » en économie pour qualifier l’augmentation exponentielle d’une dette liée à la corrélation de plusieurs facteurs. Dans le cas des objets connectés cet effet s’applique au niveau sécuritaire. Mal sécurisés dès leur conception (négligence du constructeur au profit de l’innovation, manque de sensibilisation sur les répercussions de l’exploitation d’une faille de sécurité d’un dispositif connecté, mise en place de mesures de sécurité sommaires voire lacunaires) la nature endémique des objets connectés les rend encore plus vulnérables aux cyberattaques.

Par exemple, en novembre 2015, des chercheurs de la société Kaspersky ont démontré comment le piratage d’une clé HDMI Google Chromecast permettait de prendre le contrôle d’autres dispositifs avec l’aide d’un Rickmote Controller comme une télévision connectée. Ils ont pu modifier le contenu affiché sur la télévision en le remplaçant par un message d’erreur forçant ainsi le propriétaire à changer le mot de passe du Wi-Fi, ou redémarrer le routeur. Une faille similaire a ensuite été découverte dans une machine à café connectée. Une fois que le hacker possédait le mot de passe du Wi-Fi de la maison, il pouvait ensuite facilement se connecter à la caméra de surveillance pour espionner les allers et venues des personnes4.

Ce scénario expérimental démontre comment l’interdépendance des objets connectés augmente ainsi la surface d’attaque et la capacité de nuisance d’un hacker. Les exemples de piratage se multiplient dans la presse. En 2015, une étude réalisée par deux experts en sécurité soulignait le manque de protection des nouveaux compteurs électriques mis en place par le gouvernement espagnol. En plus de pouvoir couper le courant chez les propriétaires, il serait possible de remonter jusqu’aux centrales électriques par un système d’infection en cascades5. Autre élément augmentant les risques de piratage, l’absence de normes de sécurité. En novembre 2015, la société de sécurité Imperva avait révélé que 900 caméras de vidéosurveillance avaient été transformées en botnet6. La faille ? Le mot de passe usine n’avait jamais été changés par les utilisateurs…
 

La sécurité par défaut, une nécessité

Conscient de la diversité des menaces qui touchent les objets connectés dans le domaine de la domotique, l’ENISA a publié un guide de bonnes pratiques visant à sensibiliser les industriels et les futurs consommateurs d’objets connectés sur les mesures à adopter en termes de sécurité. Les recommandations sont hiérarchisées selon le cycle de vie du produit, de sa conception à sa mise hors tension définitive.

La première recommandation de l’ENISA repose sur la conception d’objets sécurisés par défaut, étape souvent négligée par les constructeurs comme en atteste les vulnérabilités découvertes dans des serrures connectées par le chercheur en sécurité Renaud Lifchitz de Digital Security (Master Class – FIC 2016). Le manque de sécurité expose les données personnelles d’utilisateurs qui sont stockées sur les objets connectés. Pour remédier à ce constat alarmant, l’ENISA préconise aux constructeurs d’effectuer régulièrement des processus de sécurité sur leurs produits telle que la défense en profondeur, qui consiste à exploiter plusieurs techniques de sécurité afin de réduire le risque lorsqu'un composant particulier de sécurité est compromis ou défaillant.

Par ailleurs, les tests réalisés sur les objets connectés ne devraient pas uniquement se concentrer sur le comportement normal du produit mais couvrir une large gamme d’erreurs potentielles et effectuer des vérifications de sécurité supplémentaires. L’objectif est d’évaluer la robustesse du matériel mais également la protection des données personnelles. L’intégration des besoins de sécurité peut ainsi s’avérer difficile, des erreurs de programmation pouvant survenir d’où la nécessité de multiplier les tests.
 

Chiffrement et authentification : deux exigences de sécurité complémentaires

Dans la mesure où les systèmes domotiques sont composés de technologies multiples, à savoir un réseau, un logiciel, du matériel, des protocoles, des services cloud, de l’audio, de la communication, il est nécessaire de tenir compte des points vulnérables de chacun de ces éléments en termes de sécurisation de la maison intelligente. Les vulnérabilités des objets connectés peuvent être liées à la faible sécurisation des applications mobiles et à une authentification illégitime permettant aux attaquants d’en prendre le contrôle.

Pour corriger ces vulnérabilités, l’ENISA recommande le chiffrement et l’authentification.

Les solutions de chiffrement matériel peuvent être assez limitées dans le cas de certains objets connectés de par leurs faibles puissances de calcul et leurs espaces de stockage réduits. L’ENISA recommande de ne pas utiliser des schémas de chiffrement propriétaires mais plutôt d'utiliser des standards, de choisir judicieusement si une solution logicielle ou matérielle est nécessaire selon le contexte, de gérer les clefs en toute sécurité et enfin d’utiliser des infrastructures de réputation et de confiance.

L’authentification est l’une des exigences critiques de la sécurité des objets connectés. Elle consiste en l’identification d'une personne ou d'un ordinateur afin d'autoriser l'accès de cette entité à des ressources telles que des applications. L’ENISA conseille d’utiliser l'authentification mutuelle pour la communication à distance, l'authentification multi-facteur pour l'accès de l'utilisateur et de mettre en place une solide politique de gestion de mot de passe.

A ces deux exigences de sécurité s’ajoute des recommandations au niveau logiciel telles que le rapport de tout évènement anormal en cas d'attaque, le renforcement de la protection des fonctions de sécurité du logiciel (notamment en renforçant les interfaces, en assurant la séparation des applications lors de leur exécution ou encore en améliorant la protection des données personnelles).
 

Assistance technique continue pour les mises à jour de sécurité

Outre la sécurité par défaut, les concepteurs d’objets connectés doivent faire en sorte qu’une fois installés chez des particuliers, il soit aisé de gérer des problèmes techniques liés à la sécurité des objets. A ce titre, les fabricants doivent fournir des interfaces conviviales pour la gestion de l'appareil et la sécurité des services. Ils doivent également mettre en place un mécanisme sécurisé et fiable de mise à jour de l'appareil pour permettre la correction de vulnérabilités.

De leur côté, les fournisseurs doivent être à même de comprendre les problèmes qui pourraient toucher ces appareils. Il leur est recommandé d’effectuer des enquêtes sur la vulnérabilité des solutions choisies et de vérifier régulièrement la réalité des fonctions de sécurité pendant la durée de vie du produit, ainsi que de protéger le mécanisme de mise à jour logicielle. Les utilisateurs bénéficieraient ainsi d’une assistance technique continue, idéale pour les aider à corriger les problèmes techniques de leurs produits.

Autre sujet évoqué par l’ENISA, la fin de vie de l’objet connecté. Selon l’agence européenne les concepteurs d’objets connectés devraient fournir un service de sauvegarde et d’effacement sécurisé des données stockées ou utilisées par le dispositif (et par les services Cloud associées) lors de l'utilisation et de la fin de vie du produit.
 

Recommandations complémentaires

La conception d’objets sécurisés par défaut, recommandation préconisée par l’ENISA, semble la meilleure option. Encore faut-il que les industriels soient sensibilisés aux risques potentiels, afin de ne pas négliger cette étape. En effet, certains ne voient pas l’utilité de sécuriser en profondeur leurs produits de par le contenu supposé non attractif des données stockées7.Or, n’importe quel objet connecté enregistre potentiellement des données personnelles sur son utilisateur, qui peuvent être rendues accessibles à des tiers mal intentionnés et ainsi, porter atteinte à la vie privée des personnes concernées.

Outre des conseils techniques, l’ENISA liste une série de recommandations juridiques et politiques.

L’ENISA préconise ainsi que toutes les parties-prenantes sensibilisent les individus pour comprendre quelles sont les actions à mener pour sécuriser une maison intelligente. Les fournisseurs doivent embaucher des spécialistes de la sécurité afin de prévenir et de résoudre d’éventuelles failles de sécurité. Les fournisseurs et les utilisateurs d’objets connectés doivent être informés par des agences de cybersécurité sur les risques de détournement des objets connectés et leurs fonctionnalités.

Les agences nationales de cybersécurité, les groupes de consommateurs, les groupes de standards ainsi que les associations de l’Industrie doivent parvenir à un consensus sur le niveau de sécurité minimal requis dans la conception des objets connectés, et doivent permettre d’aider les non-experts dans la mise en œuvre de fonctions de sécurité spécifiques à leurs appareils et services. Par ailleurs, la Commission européenne et les acteurs de l'industrie doivent intégrer la cybersécurité dans les projets de R&D liés au Smart Home Environnent et à l’Internet des objets. L’un des programmes existants, Horizon 2020, définit quelles sont les exigences de sécurité afin d’éviter des cyberattaques.

L’ENISA suggère de mettre en place une standardisation commune afin de permettre à l'ensemble des objets connectés de se transmettre des informations de sécurité. L’écosystème de l’IoT est en effet menacé par la multitude de standards de communication. Véritable tour de Babel, de nombreux consortiums essayent de développer leur propre langage pour faire dialoguer les objets connectés. Notons néanmoins, la création d’institutions cherchant à mettre en place des normes spécifiques pour la sécurité des objets connectés tels que l’AllSeen Alliance.

La Commission européenne et ses États membres devraient définir des règles pour assurer le niveau de sécurité d'un produit donné. Il est recommandé que cette démarche de sécurité se base sur des travaux déjà existants comme les listes blanches et la certification des fournisseurs, l'intégration de plusieurs niveaux d'assurance pour contrer des attaques aux impacts différents, ou la définition de règles d'audit de sécurité et de test (par exemple l'auto-évaluation, l'évaluation par un tiers, la certification). Il est également recommandé de collaborer avec les CSIRT afin de faire tester la résistance des objets aux attaques existantes. Les fabricants et les développeurs ayant une expérience limitée en matière de sécurité sont vivement encouragés à se fonder sur les travaux de recherche des universitaires ainsi que des agences de cybersécurité nationales.
 

Conclusion

Les maisons connectées évoluent à un rythme très rapide. Intégrer des appareils connectés dans un environnement existant implique de nouveaux défis en matière de de sécurité. Récemment, des chercheurs de l’Université du Michigan ont réussi à trouver des failles dans l’application Samsung Smarthings, une plateforme qui se propose de contrôler tous les accessoires domotiques via un smartphone. Par exemple, ils ont pu exploiter une faille de type « open redirect » et implanter une porte dérobée dans une serrure électronique tout en récupérant le code PIN. Cette faille révèle que l’implémentation des protocoles et des mécanismes de sécurité utilisés est globalement mal effectuée, laissant la « porte ouverte » aux hackers.

Le rapport de l’ENISA se veut donc ambitieux : la mise en place de bonnes pratiques passe par la remise en question et l’évolution des mécanismes de sécurité implémentés par les concepteurs, et par la sensibilisation des consommateurs sur la sécurité des objets connectés. La recherche de solutions de sécurité innovantes passe également par la coopération entre les concepteurs d’objets connectés et des spécialistes de la sécurité informatique tels que les ethicals hackers. D’autres solutions émergent comme la blockchain laisse envisager un renouveau de la sécurité, exigence fondamentale pour tous les produits et services qui ont un impact sur la vie et la sureté de l'utilisateur.
 

Annexe 1 - Baromètre des risques

L’ENISA dresse une liste exhaustive des menaces qui peuvent impacter l’environnement familial. D’une simple panne entraînant un dysfonctionnement de l’objet connecté, à la surveillance des membres d’une famille via une webcam, ce baromètre offre un éventail de risques non négligeables.

Vulnérabilités Menaces Notation du risque Définition du risque Exemples
1. Faille de sécurité de l'objet connecté Atteinte à la vie privée /Prise de contrôle des appareils/ Vols de données personnelles Risque assez élevé Surveillance d'une famille En 2014, un hacker a réussi à prendre le contrôle d’un baby-phone8 / Le piratage d’une ampoule connectée a permis de décrypter les informations de configuration du réseau 9
2. Manque de sécurité WiFi Dommages matériels Risque assez faible Interception des communications sans fil via une spoofing attack Les pirates seraient capables de lire les informations transitant entre les équipements, puis de prendre le contrôle du réseau.
3. Manque de sensibilisation des utilisateurs Détournement de l'objet/usurpation d'identité Risque très élevé Prise de contrôle de l'objet par le hacker/ usurpation d'identité En novembre 2015, la société de sécurité Imperva avait révélé que 900 caméras de vidéosurveillance avaient été transformées en botnet10.
4. Mauvaise conception de l'objet par défaut Pannes Risque assez élevé L'objet tombe en panne temporairmeent ou définitivement En septembre 2015, la société Nest a connu plusieurs problèmes techniques : il était impossible de contrôler les objets pendant plusieurs heures11

Ce billet est une synthèse d'un article publié au sein de la veille de l'Observatoire de la Sécurité de L'Internet des Objets (OSIDO) réalisé par les équipes de Digital Security. Cette veille exclusive sur la sécurité des solutions connectées est disponible sur abonnement. Pour toute information : osido@digitalsecurity.fr.

1http://www.journaldunet.com/economie/immobilier/1152811-marche-de-la-maison-connectee-selon-xerfi/
2https://www.enisa.europa.eu/activities/Resilience-and-CIIP/smart-infrastructures/smart-homes/security-resilience-good-practices
3https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-thematic-landscapes/threat-landscape-for-smart-home-and-media-convergence
4http://www.stuffi.fr/piratage-kaspersky-devoile-les-limites-de-la-maison-connectee/
5http://www.stuffi.fr/objets-connectes-exemples-piratages-insolites/
6http://www.zataz.com/cameras-de-videosurveillance-piratee-pour-lancer-des-attaques-informatiques/
7http://www.lexpress.fr/tendances/produit-high-tech/les-objets-connectes-posent-des-risques-de-securite_1313531.html
8http://www.ladepeche.fr/article/2014/04/29/1872578-etats-unis-un-babyphone-pirate-terrifie-toute-une-famille.html
9http://www.stuffi.fr/objets-connectes-exemples-piratages-insolites/
10http://www.muycomputerpro.com/2015/10/26/botnet-camaras-videovigilancias
11https://www.aruco.com/2015/09/nest-panne/