«Aujourd’hui, on trouve des webcams avec une sécurité si basse qu’il suffit de taper leur adresse IP dans un navigateur pour entrer dans la maison des gens, dans leurs bureaux, dans des salles d’opération à l’hôpital… ce qui veut dire, aussi, qu’il est possible de prendre le contrôle d’une entreprise, comme une banque, via son système de climatisation ou l’éclairage. On peut aussi bloquer les freins d’une voiture à distance, changer les indicateurs de vitesse ou encore modifier un itinéraire affiché sur le GPS.»
Christophe Bianco, Founder & Managing Partner, Excellium, ne s’en étonne pas davantage. Ce spécialiste de la sécurité, invité par l’APSI à venir débattre de la question de la sécurité de l’IoT, estime qu’il n’y a pas plus de menaces, mais que les menaces sont simplement étendues du fait même de l’explosion du nombre d’objets qui sont -et seront- connectés.
Avec ce qui est présenté comme une «avalanche d’objets connectés, de trafic réseau et de protocoles», les risques liés à la cybercriminalité devraient s’accroitre mécaniquement; le nombre et la nature des objets connectés ne permettent plus l’application de politiques de sécurité traditionnelles. De même, les nouveaux services basés sur l’IoT, qui puisent leurs données dans des espaces extérieurs (au niveau de sécurisation inconnu), obligent à repenser et à organiser des parades à l’échelle des challenges.
«Tout ce qui se connecte à l’internet devrait au moins être protégé par un mot de passe. Or, la plupart des objets ne le sont pas ou alors avec un nom et un mot de passe par défaut trop courant -comme admin ou 1234…»
Rien de nouveau en fait. Un grand nombre de périphériques connectés à l’internet ont été largement oubliés, alors même qu’ils continuent cahin-caha l’exécution des tâches qui vont du plus banal à une mission critique.
Pour Christophe Bianco, il s’agit de reconsidérer les services de gestion d’identités sous un angle différent. Tout d’abord, avec autant d’utilisateurs externes, il va déjà falloir, mentalement, abandonner cette idée de sécurité «remparts» classique. Au lieu d’opérer derrière un pare-feu, les systèmes de gestion d’identités doivent pouvoir gérer les informations au-delà de cette protection, au niveau du web. Et ils devront permettre de faire plus qu’une simple activation ou désactivation d’autorisation ou de déni d’accès. Les relations entre chaque «objet» et chaque utilisateur doivent être facilitées tout en fournissant souplesse, flexibilité et adaptabilité pour ajuster au mieux les services offerts en fonction d’un contexte spécifique -la localisation géographique, le moment de la journée et plusieurs autres facteurs.
La nature même des risques change. Les nouvelles cyberattaques pourraient s’avérer plus sournoises que la saturation des sites web de e-commerce. Le déclenchement d’un code erreur sur une multitude d’objets disséminés pourrait littéralement «affoler» les outils de contrôle. Or, la désactivation temporaire à titre préventif de certains systèmes sera moins facile dans certains domaines (station électrique, industrie chimique…) que de couper la messagerie lors d’une attaque virale!
Les risques les plus importants
(source: OWASP (Open Web Application Security Project))
1- Interface web non sécurisée
2- Authentification / Autorisation insuffisante
3- Services réseaux non sécurisé
4- Absence de chiffrement de transport
5- Faiblesse concernant la confidentialité
6- Faible sécurité de l’interface vers le cloud
7- Application mobile non sécurisé
8- Capacité de configuration de la sécurité insuffisante
9- Logiciel / Firmware non sécurisé
10- Faible sécurité physique
Selon une étude de HP-Fortify (2014), 80% des objets connectés ont un niveau de sécurité jugé insuffisant. Leurs fabricants ne semblent pas se préoccuper du risque sécuritaire, ne prévoyant aucune mesure de notification aux consommateurs des vulnérabilités découvertes entre-temps ni des moyens de les «patcher».
