Cybercriminalité et IoT, naissance d’une nouvelle mafia ?
Menace sur l’IoT : le risque est grand de voir des cybercriminels, à l’instar de la mafia, encaisser une «assurance machine» pour nos futurs objets connectés.
Que ce soit en chiffrant des données ou bien en mettant des machines ou des processus vitaux hors service, la menace sur l’IoT est réelle. Pour Wieland Alge, Vice President, General Manager EMEA, Barracuda Networks, les cybercriminels -à l’instar de la mafia- chercheront constamment de nouvelles méthodes afin de monétiser les attaques IoT.
«Ils n’auront ainsi qu’à prendre le contrôle d’un nombre relativement restreint d’appareils afin d’encaisser pour des années une ‘assurance machine’ un peu comme le fait la mafia sicilienne avec les commerçants, estime Wieland Alge. Les cyber-terroristes jetteront leur dévolu sur les appareils et les machines leur permettant de causer le plus grand dommage direct, par exemple dans de petites centrales électriques mal sécurisées.»
Les appareils IoT sont les orphelins de l’informatique
Le risque est bien là, omniprésent. Un test du chercheur en sécurité Robert Graham a dernièrement démontré que, sans mesure de protection supplémentaire, une caméra de surveillance ordinaire était infectée en 98 secondes après sa connexion sur Internet. «La facilité de ces attaques tient au fait que chaque appareil dispose d’un serveur Web accessible depuis n’importe où, explique Wieland Alge. La plupart des combinaisons de systèmes d’exploitation et d’interfaces des contrôleurs industriels, elles aussi, proviennent d’une époque révolue et sont complexes, voire impossibles à patcher ou à sécuriser. Si une organisation criminelle réussit à accéder à l’un de ces appareils -en raison de l’utilisation d’un mot de passe standard ou via une faille de sécurité- elle peut automatiser l’attaque, l’étendre à l’échelle mondiale grâce aux nombreux objets déployés par l’entreprise dans le monde et prendre le contrôle de ces appareils sur la durée.»
Même les grandes entreprises gèrent rarement les appareils IoT avec le même sérieux que celui qu’elles appliquent aux ordinateurs ou aux serveurs; ces appareils sont à peine mis à jour, leur intégrité rarement contrôlée et le trafic de données entrant et sortant n’est pas limité par des règles de pare-feu pertinentes. «Les appareils IoT sont les orphelins de l’informatique… et il en existe des centaines de millions !», illustre Wieland Alge.
Mal préparés au défi de l’IoT
Pour régler les problèmes liés à la sécurité de ces objets connectés, deux approches doivent être adoptées. Un : une sécurisation des appareils dès la conception (Security by Design) qui comprend le chiffrement de données fixes et mobiles, l’authentification forte pour l’accès, des correctifs automatiques pour les failles de sécurité et des alertes en cas de comportement suspect. Deux : des mécanismes de sécurité en amont (Security by Architecture) qui permettent de protéger l’objet connecté contre des accès illégitimes et des logiciels malveillants, tout en empêchant tout trafic indésirable. Cette tâche est généralement assumée par des pare-feu adaptés à l’IoT.
L’industrie de la sécurité informatique n’est, globalement, pas préparée au défi de l’IoT, regrette encore Wieland Alge. «De nos jours, les entreprises ont besoin de pare-feu partout où se trouvent les utilisateurs, les données et les applications. Pour une connexion sûre et évolutive d’appareils IoT, il faut un matériel petit, léger, encastrable et intégrable; les technologies aujourd’hui courantes sont dotés de fonctionnalités puissantes, mais elles n’ont pas le bon format ni la bonne architecture. Un pare-feu devant protéger des dizaines de milliers d’objets, nécessite une architecture s’y adaptant. Il est essentiel d’avoir une répartition intelligente des tâches entre celles directement réalisées sur le pare-feu matériel local et celles fournies par d’autres instances du pare-feu : dans le cloud, à un niveau agrégateur ou dans le centre de données, etc.»
Nous en sommes loin. Aussi, le risque de voir des systèmes mafieux exploiter la faiblesses de nos systèmes est bien réel.
