mar. Déc 10th, 2019
digicert - mike nelson

Les entreprises fragilisées par la faible sécurité de l’IoT

Par Mike Nelson,  Vice-Président de la sécurité de l’IoT,  DigiCert

L’engouement pour l’Internet des Objets expose encore plus les entreprises aux violations de données, aux attaques par déni de service et bien d’autres. La signature de code peut-elle résoudre ce problème ?

 

Les entreprises vont souffrir de la faible sécurité de l’Internet des Objets, et c’est à elles de régler ce problème. L’enquête, menée par Digicert sur l’état de la sécurité de l’IoT  pour l’année 2018 a révélé ce que risquent les entreprises et le prix qu’elles paient pour ne pas avoir correctement sécurisé leurs déploiements IoT.

Ces entreprises ont 3,5 fois plus de risques que leurs homologues bien sécurisées de connaître une attaque par malware ou rançongiciel. Elles sont 7 fois plus susceptibles de subir une attaque par déni de service liée à l’IoT ; il est aussi possible que des accès non autorisés à leurs appareils se soient produits et elles sont 5 fois plus susceptibles d’avoir subi une forme de violation de données. 

Être attaqué est une chose, les dommages qui en résultent en sont une autre. Aussi destructrice que puisse être une cyberattaque, c’est ce qui se passe après qui fait la vraie différence. Des organisations bien sécurisées ont été néanmoins attaquées, mais n’ont subi presque aucun dommage financier lié à ces attaques. Les organisations mal sécurisées ne peuvent pas dire la même chose. Plus de la moitié (54%) ont déclaré des pertes financières, 49% ont connu une dégradation de productivité, 43% ont subi un déficit d’image et 43% ont déclaré une baisse du cours de leurs actions et des pénalités de conformité. 

Une grande partie de cette insécurité provient de la sécurité des connexions au sein des vastes réseaux IoT : non seulement des connexions entre les appareils, mais aussi des connexions des appareils à un réseau étendu. Les appareils IoT doivent souvent être mis à jour – en partie à cause de la sécurité notoirement faible de nombreux équipements de ce type – et des fournisseurs tiers promeuvent souvent de nouvelles fonctionnalités et fournissent des correctifs de sécurité à leur produit, via des mises à jour OTA (Over-The-Air).

Une manoeuvre courante des pirates consiste à écrire un logiciel malveillant, à le déguiser pour simuler une mise à jour OTA d’un appareil, puis à asservir les dispositifs prétendument à mettre à jour et les plier à leur volonté. A partir de là, un attaquant peut faire énormément de choses. Il peut enrôler l’appareil dans un botnet ou l’utiliser comme un moyen d’accéder à votre réseau. 

Compte tenu de l’adoption enthousiaste de l’IoT à tous les niveaux d’activité, on assiste et on assistera à un grand nombre de nouvelles connexions de chaque nouvel adoptant. Ce sont ces connexions qui exposent le réseau aux attaques, et il convient de les protéger. Pour aider à verrouiller ces nouvelles connexions, les entreprises utilisent de plus en plus la signature de code. 

La signature de code permet aux organisations de vérifier l’intégrité d’un logiciel et, ce qui est le plus important, d’en vérifier la source. L’utilisation de la cryptographie à clé publique permet aux auteurs de logiciels de signer numériquement leur logiciel, fournissant à l’utilisateur final l’assurance de l’intégrité du code, écrit par une source de confiance et non altéré depuis cette signature.

L’importance de la signature de code autour de l’IoT a été démontrée maintes et maintes fois. L’année dernière, deux chercheurs ont montré comment un stimulateur cardiaque IoT du fabricant de matériel médical Medtronic pouvait exactement être exploité de cette façon. Les chercheurs ont constaté qu’en raison de l’absence de signature de code dans le stimulateur cardiaque, un attaquant pouvait fournir des mises à jour malveillantes à l’appareil afin d’en prendre le contrôle à distance. 

L’exemple réellement significatif s’est produit quelques années auparavant, lorsque Charlie Miller et Chris Valasek ont piraté la Jeep Cherokee, lors de la Conférence Black Hat 2015. Le monde entier a été stupéfié. Ce fut l’un des exemples d’attaque autour de l’IoT les plus énormes jamais démontré publiquement – et heureusement cela n’est pas arrivé réellement. 

Soudainement, le piratage n’était plus seulement une question de données. Les hackers – et dans notre cas, heureusement les experts – pouvaient atteindre et toucher le monde réel de manière très réelle et très inquiétante. 

La clé de ce piratage était la connexion entre le système de communication de la voiture – appelé bus de données CAN – et le poste principal de son système de divertissement de plus en plus informatisé, une simple radio AM / FM, et si vous étiez chanceux, un lecteur de cassettes. Grâce à cette connexion, Miller et Valasek ont pu « reflasher » une puce dont dépendait le bus CAN et soumettre la voiture à leur entière volonté.

Critique, Miller soulignait lors de Blackhat 2015 : « il n’y a pas de signature de code ; vous pouvez mettre à jour la puce, sans qu’on vous pose la moindre question. » C’est en grande partie ce simple événement qui a fait prendre conscience au monde des possibilités malveillantes autour de l’IoT et qui a franchement rappelé que, aussi prometteur que puisse être l’IoT, il pourrait presque aussi facilement se retourner contre ses propriétaires.

Les gens commencent à intégrer ce message. Tesla, la société de voitures électriques d’Elon Musk, a déjà étendu la protection par signature de code à ses véhicules et de plus en plus d’entreprises tirent les leçons de ces événements concernant l’IoT.

L’innovation est une chose passionnante. Personne ne le nie. Mais dans cette course à la nouveauté, les organisations peuvent s’exposer à des vulnérabilités potentiellement catastrophiques, aveuglées par leur enthousiasme, en ne tenant pas compte des vastes négligences de sécurité. Elles devront les prendre en compte si elles veulent être sérieuses pour s’emparer du potentiel novateur de l’IoT. Il s’agit de leur propre sécurité.

%d blogueurs aiment cette page :