L’IOT, objet d’inquiétude pour la sécurité

Même s’il existe des solutions pour se prémunir des attaques visant les objets connectés, comment assurer une protection efficace faute de standards et d’homogénéité des composants ou des produits ?

Soyons affirmatif, la sécurité dans la majorité des objets connectés est aux abonnés absents. Comme nous l’a récemment confirmé un fournisseur : « On ne trouve aucune sécurité intégrée dans une grande majorité des objets, notamment ceux destinés au grand public. Il n’existe pas vraiment de standards, ce qui rend impossible l’installation d’agents, et de ce fait, la supervision est presque impossible. » Un point que confirme Thierry Gourdin, Head of PreSales chez Kaspersky France, qui ajoute que « le concept d’internet des objets englobe une grande variété d’appareils, de gadgets, de technologies, de logiciels et de protocoles de communication. Cet environnement très hétérogène génère de nombreux risques de sécurité, et rend impossible la création et la mise en oeuvre d’un outil universel unique qui sécuriserait l’ensemble ». Pour appuyer ses propos, il suffit de se souvenir du piratage mené par le chercheur en sécurité informatique Martin Hron, chez Avast, pour démontrer le manque flagrant de sécurité dans les objets connectés. Ce fait a été relaté par la publication en ligne arstechnica.com. En effet, l’expert a réussi, après manipulations, à prendre le contrôle d’une machine à café, jusqu’à lui faire exiger une rançon en échange de l’arrêt de son dysfonctionnement. Plusieurs failles ont été découvertes dans la machine par l’expert d’Avast, comme l’absence de chiffrement, de signature de code dans la réception des commandes et de mises à jour du firmware.

PAS SEULEMENT CHANGER LE MOT DE PASSE PAR DÉFAUT

Ce cas est loin d’être le seul, car d’autres experts ont démontré la vulnérabilité des montres connectés, par exemple. Et que dire des caméras de vidéosurveillance déployées par millions ? « Le manque d’attention porté à la sécurité des appareils IOT est épouvantable. La plupart des fabricants semblent retirer du commerce des composants gratuits, souvent vieux de plusieurs années, et criblés de failles de sécurité. Ils n’apportent que quelques modifications à leur application, et expédient le produit. Difficile de croire que cela changera avec une forme de responsabilité ou de réglementation » affirme sans ambiguïté Chester Wisniewski, Principal Research Scientist, chez Sophos. Et le changement du mot de passe par défaut, lors de l’acquisition d’un objet connecté, certes fortement recommandé, ne changera malgré tout pas grand-chose aux failles natives de celui-ci.

« Les entreprises qui cherchent à utiliser ces appareils doivent les isoler »

Chester Wisniewski, Principal Research Scientist, Sophos

ATTRIBUER UN RÉSEAU À L’IOT

Pour une majorité des experts de la sécurité, la meilleure réponse pour se protéger de ces objets est de leur dédier un réseau. « Les entreprises qui cherchent à utiliser ces appareils doivent les isoler et s’assurer que leur objectif n’est pas une partie critique de leur processus métier, insiste Chester Wisniewski, qui ajoute, à des fins industrielles, les entreprises devraient obliger leurs fournisseurs à prendre en charge et à sécuriser le logiciel de ces appareils pendant la durée d’utilisation prévue. » En outre, il existe aussi sur le marché quelques solutions pour se prémunir des attaques. C’est le cas de Kaspersky qui travaille sur un modèle de passerelle sécurisée : « Kaspersky IoT Secure Gateway est une solution conçue pour construire des systèmes IoT sécurisés. Au coeur de son logiciel se trouve KasperskyOS, une technologie propriétaire. [Typique du security by design], il s’agit d’un système d’exploitation à micronoyau, incluant des outils de sécurité qui rendent la plupart des cyberattaques impossibles sur l’appareil. Avec Advantech, nous venons de réaliser cette passerelle sécurisée incluant nos technologies. Elle réceptionne, analyse et distribue les messages des capteurs et autres dispositifs de ce réseau, tout en détectant les tentatives d’intrusion », conclut Thierry Gourdin, chez Kaspersky France.

« L’hétérogénéité des objets connectés empêche la création et la mise en oeuvre d’un outil de sécurité unique »

Thierry Gourdin, Head of PreSales, Kaspersky

SHARP MET EN GARDE CONTRE LES ÉQUIPEMENTS D’IMPRESSION
Trop longtemps, la sécurité des périphériques d’impression a été négligée dans les entreprises. Il suffit de constater les identifiants et les mots de passe par défaut, immuables sur ces équipements, relate d’ailleurs Magali Moreau, directrice marketing & communication, chez Sharp France. À ce titre, Le fabricant nippon a mené une étude sur la sécurité des imprimantes et des MFP, auprès d’entreprises européennes avec l’aide du hacker éthique Jens Müller. Que constate-t-on ? Seuls 10 % des employés identifient les imprimantes ou les MFP comme failles de sécurité potentielles sur leur lieu de travail. Tandis que 21 % des employés déclarent n’avoir connaissance d’aucun processus de sécurité sur ces appareils. Puis, un quart des sondés déclarent être tombés sur des données personnelles ou confidentielles près des équipements. Ou encore, 28 % d’entre eux déclarent avoir déjà utilisé un matériel d’impression de l’entreprise pour imprimer un document personnel créé chez eux. Ces chiffres montrent à quel point il est grand temps de sensibiliser les utilisateurs, ce que fait Sharp au travers une campagne d’e-mailing. Le fabricant recommande donc de protéger les équipements en appliquant simplement les fonctions de sécurité embarquées dans toute sa gamme A3 et A4. Cela va du changement de mots de passe et d’identifiants à l’authentification en passant par le paramétrage des autorisations, en fonction des droits des utilisateurs internes et externes. Il est également important de désactiver les ports non utilisés, de sécuriser le réseau via le filtrage des adresses IP embarqué, d’effectuer les mises en jour. Ces adresses IP sont automatiques sur les nouvelles A4 et A3. D’autres fonctions sont incluses comme le cryptage des données, la notification d’alertes au service IT par e-mail, ou l’effacement des données du disque dur intégré, à la fin du contrat de leasing. À noter que Sharp a été le premier fabricant à recevoir la certification EAL 4 en 2001, selon Celine Palas, chef de produits MFP & Services
Associés chez Sharp France.

VERBATIM RENFORCE LA SÉCURITÉ DE SES PÉRIPHÉRIQUES DE STOCKAGE

Si l’IoT, surtout grand public, doit redoubler d’efforts en matière de security by design, les périphériques de stockage sont, quant à eux, de plus en plus sécurisés à l’image de ceux du catalogue de Verbatim. Car le fabricant propose, dans la gamme des disques durs, deux modèles dont le FingerPrint Secure d’une capacité de 2 To. Ce disque intègre non seulement le cryptage des données mais aussi la reconnaissance d’empreinte digitale pour contrôler les accès.Quant au second modèle, appelé Store ’n’ Go, l’utilisateur y accède par un clavier intégré. Verbatim sécurise aussi les SSD portables (Stor ’n’ Go de 256 Go) avec,là aussi, un accès par clavier. Enfin, les clés USB du fournisseur sont finement protégées. Citons la 3.0 de 128 Go embarquant la reconnaissance d’empreinte digitale, et la même, protégée par clavier. De façon identique, Verbatim sécurise une autre clé de 128 Go, au format USB-Ccette fois-ci, par clavier.