Alerte sur la sûreté des objets connectés !
Encore trop peu sécurisés par leurs concepteurs, les objets connectés constituent une ouverture aux attaques. La Commission européenne réagit, et préconise des directives dans sa future loi, et agira par des sanctions.
Nov 2022Par Benoît Huet
Cela fait des années que les alertes sur la vulnérabilité des objets connectés sont émises, la multiplication des attaques de type DDoS (distributed denial of service) en sont le parfait exemple. Souvenons-nous d’ailleurs des services d’infrastructure DNS de la société Dyn rendus indisponibles à la suite d’une attaque DDoS par les objets connectés, notamment des caméras de surveillance pour ce sujet précis. Résultat : plusieurs sites inaccessibles dont ceux de Twitter, GitHub, Spotify ou encore PayPal.
Autre exemple, celui cité par l’éditeur de sécurité Darktrace lors de l’un de ses événements à Londres, dès 2018. Nicole Eagan, CEO de la société à l’époque, avait expliqué aux auditeurs comment des cybercriminels avaient piraté un casino de Las Vegas par un thermomètre connecté à l’Internet dans un aquarium situé dans le hall.
Qu’ils soient des équipements professionnels comme les caméras, routeurs, capteurs, terminaux mobiles, ou destinés au grand public (automobiles, jouets, électroménager, etc.), les objets connectés constituent une porte d’entrée idéale et aisément accessible pour les pirates, car la majorité de ces produits matériels et logiciels n’obéit à aucune obligation en matière de cybersécurité.
Face à ce fléau, la Commission européenne, dans un cadre plus large de sa loi sur la cyberrésilience (Cyber Resilience Act) présentée en septembre 2022, souhaite agir en obligeant les fabricants à adopter ce principe de security by design. De quoi s’agit-il ? En somme, de prendre en compte la sécurité dès la conception de l’objet connecté, puis tout au long de son cycle de vie ou du moins durant cinq ans.
De plus, la Commission devrait obliger les industriels à signaler les vulnérabilités et les incidents exploités, à publier les mises à jour de sécurité pendant au moins cinq ans, et à livrer aux utilisateurs des données claires et compréhensibles.
« L’approche dans la sécurisation des objets connectés doit, elle aussi, être collective »
Vincent Dély, directeur technique EMEA, Nozomi Networks
DES SANCTIONS POUR LES FOURNISSEURS D’IOT
Point important, les fabricants qui ne respectent pas la législation assisteront au retrait temporaire ou définitif de leurs produits, ou se verront infliger une amende de 2 % à 5 % de leur C.A.
Pour Bastien Bobe, directeur technique Europe continentale de Lookout, une sanction est « malheureusement » une bonne réglementation : « Il existe de nombreuses réglementations européennes, mais les seules qui fonctionnent sont celles qui donnent lieu à des sanctions comme le RGPD. »
Bien sûr, cette volonté de l’U.E. pour une meilleure sécurisation des objets connectés n’empêchera pas les attaques, car les pirates agissent sur une multitude de vulnérabilités. De plus, par principe, il est difficile d’avoir une confiance totale dans les fabricants et les éditeurs, comme le rappelle Bastien Bobe qui prend en exemple des smartphones et tablettes sous iOS et Android. « Les O.S. de base dans ces terminaux ne sont pas sécurisés, sinon nous ne constaterions pas autant de vulnérabilités. Et pourtant, de nombreux utilisateurs partent, à tort, du principe que ces systèmes sont bien sécurisés vu les investissements promis par les deux grands acteurs. Ne succombons pas aux charmes du marketing. »
De ce constat, une approche de security by design est toujours compliquée à évaluer, malgré les efforts consentis par certains acteurs sur les correctifs de sécurité régulièrement publiés. À ce titre, rares sont les appareils IoT mis vraiment à jour (lire p. suivante « L’avis du prestataire intégrateur Axians »). De plus, les mots de passe donnés par défaut pour l’identification ne sont quasiment jamais changés par les utilisateurs ; il suffit de quelques minutes pour les trouver sur Google. Facile pour le pirate de prendre ensuite le contrôle de l’objet à distance.
« Parmi les nombreuses réglementations européennes, seules fonctionnent celles qui aboutissent à des sanctions »
Bastien Bobe, directeur technique Europe continentale, Lookout
TIRAILLÉS ENTRE DEUX MODES DE CONNEXION
La meilleure réponse contre les menaces sur l’IoT est la mise en place d’un réseau dédié sans accès au réseau principal du S.I. Toutefois, cette réponse va à contre-courant de la politique actuelle, à savoir une ouverture marquée vers l’extérieur à laquelle s’ajoutent les services cloud et edge, comme le prône l’industrie 4.0.
Dans ce cas, limitons au moins la connectivité des appareils et des réseaux IoT au réseau de l’entreprise, ou utilisons des plates-formes qui identifient les anomalies par rapport aux comportements appris et aux modèles de trafic. Seront ainsi compréhensibles les vulnérabilités des appareils IoT, comme le propose l’éditeur Nozomi Networks, connu notamment pour sa sonde Guardian, certifiée CSPN par l’Anssi. Sa plateforme vient combler toutes ces lacunes de sécurité de l’IoT, et s’inscrit plus largement dans une politique d’analyse des risques que doivent mettre en place les entreprises.
À noter que l’éditeur a lancé voilà un an, Vantage, sa plate-forme cloud elle aussi associée à un programme MSSP. De même, après Stormshield et Gatewatcher, Nozomi Networks s’est associé à un confrère français Wallix, l’objectif étant d’apporter une visibilité et une traçabilité de bout en bout en environnement industriel, dans un périmètre de Zero Trust, y incluant l’administration des accès et des identités.
MISES À JOUR CRUCIALES
Le rajout de couches de sécurité par un outillage dédié est donc primordial, comme les plates-formes automatiques de virtual patching et de mises à jour des applications. Rappelons que l’usine Renault de Douai, infectée par WannaCry en 2017 a stoppé sa production faute de mises à jour des équipements.
Les sauvegardes sont également cruciales car, comme l’avait mentionné Guillaume Poupard, directeur général de l’Anssi, voilà quelques années : « Quand on a procédé à des sauvegardes, et que ses données sont quelque part bien au chaud, on peut les récupérer et réinstaller les systèmes. »
Finalement, pour Bastien Bobe, chez Lookout, les trois bonnes pratiques listées par Microsoft dans les années 2000, sont toujours d’actualité : à savoir les mises à jour, l’antivirus et le firewall. Ajoutons une quatrième : le proxy pour tout ce qui sort de l’entreprise. Bien évidemment, le chiffrement des informations pour empêcher la compromission des données sensibles et les mots de passe forts (pour les applications en ligne associées aux objets) font aussi partie des protections à ne pas négliger.
De façon générale, pour Vincent Dély, directeur technique de Nozomi Networks pour la région EMEA, la sécurité des objets connectés passe et passera par une approche collective au sens large : « La loi proposée par la Commission européenne est une bonne chose, mais pour assurer une protection au sens large et à l’échelle des objets connectés, l’approche doit être collective. Nous avons besoin d’un large écosystème chez les fournisseurs, la recherche avec les écoles, les universités, les fabricants d’objets connectés, etc. »
L’AVIS DU PRESTATAIRE INTÉGRATEUR AXIANS
Pour Yves Pellemans, CTO d’Axians, il est illusoire de réaliser des mises à jour de la majorité des objets connectés. « Rien que le coût d’extraction d’un FPGA¹ pour sa mise à jour, dépasse en maind’oeuvre la valeur de l’objet ellemême ». Pour ces objets, la solution réside notamment dans le scan et le virtual patching.
En clair, comme évoqué par Yves Pellemans, on localise les fuites, puis on les bouche avec de la sécurité réseau : « En procédant ainsi, nous réduisons 80 % des risques. » Hormis cette dette IoT à gérer, pour les nouveaux objets, le dirigeant d’Axians approuve la position de la Commission européenne qui contraint les fabricants à apporter plus de sécurité dès la conception des objets. « Techniquement, il faut crypter les flux de la source à la destination », poursuit-il. Enfin, sur un réseau dédié aux objets connectés, Yves Pellemans, de son point de vue personnel, croit surtout à la standardisation des réseaux sans fil 5G et 6G, lesquels répondront à une grande partie des usages en offrant des débits suffisants pour le traitement et l’analyse de données en temps réel.
1 FPGA : field-programmable gate array
KYOCERA MISE SUR LA SÉCURISATION DES DOCUMENTS
L’impression n’échappe pas aux défis de cybersécurité. Les équipements (copieurs, scanners, etc.) par leur connexion au réseau, représentent des cibles potentielles. Mais plus encore, les failles se trouvent au niveau humain, ouvertes par des documents mal gérés et mal suivis par les utilisateurs. Kyocera répond à ce risque par un outil de gestion appelé KCPS ou Kyocera Cloud Print & Scan.
« En termes de sécurité, le gros avantage de notre solution est qu’elle fonctionne entièrement dans le cloud sans serveur centralisé. Elle empêche ainsi les documents de traîner sur les équipements, qu’ils aient été oubliés ou pas encore récupérés. Tout est stocké dans le cloud et ne sera imprimé que lorsque l’utilisateur s’identifiera sur l’imprimante ou le copieur, par exemple, avec un lecteur de badge », explique Benjamin Claus, directeur marketing et communication de Kyocera Document Solutions France. Par ailleurs, la marque assure la mise en place de lecteurs de badge sur les imprimantes et les multifonctions personnelles, répondant à l’évolution du marché vers le travail hybride. KPCS présente d’autres avantages comme la gestion des quotas d’impression, ou la réduction de l’empreinte carbone en permettant à distance de gérer l’impression monochrome et recto verso.