Dossier Sécurité Avis d’expert Par Mike Ahmadi, Global Director, Solutions de Sécurité IoT, DigiCert OBJETS CONNECTÉS, ÊTES-VOUS EN SÉCURITÉ ? Une faille minime peut rendre vulnérable le plus sophistiqué des réseaux. Et dans ce cadre, les objets connectés sont des cibles de choix pour les cybercriminels car leur fiabilité est rarement la préoccupation majeure des utilisateurs. ajoutés directement dans le code est vertigineux. Ce peut être aussi élémentaire qu’un mot de passe À l’image des données qu’ils par défaut unique, commun du thermomètre pour accéder génèrent, les objets connectés à un type de périphérique ou un peu au réseau du casino, et l’ont se développent sur le marché plus élaboré comme un numéro simplement analysé pour trouver à un rythme exponentiel. Tout de série de périphérique. ce qu’ils cherchaient. Il n’est évident ce qui nous entoure – des appareils pour personne qu’un thermomètre électroménagers aux véhicules, Le B.A.BA : modifier le mot d’aquarium représente une cible, en passant par les jouets pour de passe instllé par défauta mais nous oublions que les hackers les enfants – semble paré De nombreux utilisateurs sont opportunistes et cherchent de la connectivité réseau pour ne modifient pas les mots le moyen le plus simple. créer de nouveaux modèles de passe par défaut des appareils Bio express commerciaux. Ces exemples et périphériques qu’ils considèrent La mauvaise perception témoignent de la quantité à faible risque. Conséquence, Diplômé de la Case Western du risque estune autre faille considérable de données menacées une personne malveillante utilisera Reserve Univertisty de Nul règlement oblige les fabricants par l’augmentation massive facilement des outils de recherche Cleveland (Ohio), Mike Ahmadi de périphériques IoT à y inclure du cybercrime organisé et du prêts à l’emploi pour scanner par possède une grande expérience des éléments essentiels de sécurité nombre d’acteurs malveillants Internet des périphériques courants en tant que DSI dans l’industrie comme une authentification forte, indépendants. Voilà qui est et voir ce qui se présente. On lance (Oil Changer, North American disponible via des PKI basées d’autant plus inquiétant que un grand filet et la pêche est Lubricants, etc.) Il se spécialise sur des certificats. Le tristement la phase d’intrusion pour souvent fructueuse. Dans le cas ensuite dans la sécurité célèbre botnet Mirai en est l’exemple les cybercriminels potentiels où un numéro de série est employé informatique notamment même. Des millions d’utilisateurs se réduit, faute de sécurité – ils sont souvent séquentiels – au sein du consultant n’ont pas appliqué une sécurité de ces objets. Par exemple, il suffit à l’attaquant de déterminer GraniteKey puis chez appropriée, en grande partie parce de nombreux systèmes connectés le système de numérotation Codenomicon et Synopsys que leur appareil connecté ne leur avant de rejoindre DigiCert à Internet contiennent des mots alphanumérique puis d’écrire en septembre 2017, spécialisée semblait pas une cible potentielle. de passe par défaut, inscrits un script très simple pour dans la sécurité des réseaux. Le problème s’aggravera tant que directement dans le code du logiciel les rechercher et les exploiter. les autorités de réglementation ou firmware, ou bien simplement Récemment, la base de données ne se rendront pas compte trouvés en parcourant les manuels d’un casino de Las Vegas a été des failles dans leur perception de service disponibles. Ce problème piratée grâce à au thermomètre les questions de sécurité. est connu depuis des décennies d’un aquarium du casino, qui était Les déficiences peuvent – et elles et persiste mais son ampleur connecté à Internet. Les pirates l’ont fait – entraîner un effet boule croît avec le marché : comme le prix ont exploité une vulnérabilité de neige. Les fabricants d’appareils des équipements de réseau a chuté, doivent prendre des mesures plus le volume de périphériques proactives. Quant aux utilisateurs, utilisant des mots de passe ils doivent être mieux formés et mieux informés, et se méfier des périphériques qu’ils ajoutent à leur « Nul règlement oblige les fabricants réseau. Sans quoi, la croissance de périphériques IoT à y inclure constante du nombre d’objets connectés invitera sans cesse des éléments essentiels de sécurité les cybercriminels à agir. ■ comme une authentification forte » Suite du dossier p. 94 92 E.D.I N°83 | novembre 2018