Vendredi 21 octobre, une attaque massive d'objets connectés (caméras ou netcam) a paralysé les sites de Twitter, Netflix, Amazon, New York Times, CNN.
La technique utilisée est le DDOS (distributed denial of service attack ), une attaque de déni de service distribuée sur le serveur Dyn ( gestionnaire de zone DNS) qui redirige le trafic entre une requête d'un internaute et le serveur de du site web recherché. Ne faisant pas la distinction entre une requéte d'un être humain et d'un botnet, l'internaute est incapable d'accéder au site car il est noyé parmi des milliards de requêtes et qu'il y a un goulot d'étranglement énorme pour accéder au site recherché.
Dans l'interview qui suit, j'expose dans le cadre d'un interview avec Digital Security quels sont les éléments et une démarche pour sécuriser un objet connecté. Cela réduit les risques d'être utilisé comme "bot" par un hacker pour envoyer des requêtes utilisées pour un DDOS.
Ici, l'attaque utilise des objets connectés pour être précis des caméras connectées. La raison est triple :
- la première est que de manière générale, les objets connectés sont très peu sécurisés à la différence des smartphones, ordinateurs, tablettes, notamment pour des raisons de coût nécessaire pour sécuriser et de la jeunesse des objets connectés.
- la deuxième est que parmi les objets connectés les caméras sont les objets connectés parmi les plus vendus
- la troisième est que ce sont des objets fixes avec une connexion continue et en haut débit (pour faire asser la vidéo !) à la différence des wearables.
Cela signifie qu'il y a peu de chances aujourd'hui qu'une balance connectée en Bluetooth ou que votre Flower Power, capteur pour plantes de Parrot participe à une attaque DDOS.
Voici donc mes réponses à quelques questions sur la sécurité de l'Internet des Objets :
- l’état actuel de la sécurité des objets connectés
- les 5 principales vulnérabilités IoT
- comment les hackers pourraient-ils exploiter les failles de sécurité de l’Internet des objets
- les recommandations pour améliorer la sécurité des objets connectés
Quel est l’état actuel de la sécurité des objets connectés ? Pourquoi ?
Nous sommes aujourd'hui encore au tout début du développement de l'Internet des Objets d'abord il y a eu une phase de création d'objets connectés dans le domaine du grand public sans qu'il y ait toujours une utilité, puis une étape où les fabricants d'objets connectés ont dû proposer des objets connectés utiles à après les gadgets connectés du début et doivent construire un modèle économique pérenne.
La sécurité même si elle est cruciale est un sujet peu abordée pour des raisons de complexité et de coûts additionnels qui auraient été un frein à la rapide émergence des objets connectés dans le grand public. Nous rentrons aujourd'hui dans une phase où il est crucial de sécuriser tous les flux de données. Le client n’acceptera plus d’acheter des objets connectés avec une sécurité insuffisante.
Le niveau de criticitë du service apporté par l’objet connecté et la sensibilité des données collectées par celui-ci ont un impact direct sur le niveau de sécurité exigée.
Néanmoins, on le voit avec des services comme Shodan qui montre et donne accès à tous les objets connectés non sécurisés que nous sommes encore loin du compte ...
Quelles sont pour vous les 5 principales vulnérabilités IoT ?
1. La première vulnérabilité est liée à l'objet lui-même. En désossant un objet connecté,l’analyse d’une carte sd,des mémoires,des processeurs sont autant de moyens d’une part de collecter des données sur l’objet même mais aussi sur tous les autres.En révélant une faille majeure sur la totalité des objets de même conception,il peut obliger un fabricant à rappeler ses produits s’il ne peut mettre à jour ses produits à distance.
En réduisant la sécurité de l’objet on facilite aussi son rétro engineering et sa copie par des concurrents.
2. La deuxième vulnérabilité est la transmission des données.C’est l’une des plus critiques, car il permet d’accéder à distance à un grand nombre d’objets connectés sans que leur utilisateur le sache.
3. La troisième est similaire à tous les sites Web, c’est la plateforme Internet où toutes les données sont remontées à la différence que les conséquences d’un déni de service ou d’une collecte de données en particulier sur la santé peuvent être désastreuses.Imaginez une pompe à insuline, dont la plate-forme enverrait l’ordre d’un surdosage d’insuline…
4. La quatrième vulnérabilité est l’application sur smartphone qui sert souvent d’écran de paramétrage et de contrôle de l’objet connecté.
5. La cinquième, souvent oubliée est l’utilisateur,qui peut oublier de changer le mot de passe initial,négliger de mettre à l’abri ses objets connectés des convoitises…
Selon vous, comment les hackers pourraient-ils exploiter les failles de sécurité de l’Internet des objets ?
Quels sont les scénarios à redouter ?
Aujourd’hui,dans la plupart des cas, c’est encore le Far West comme le montre le site web Shodan qui répertorie ainsi un nombre gigantesque d’objets connectés non sécurisés auxquels on peut se connecter directement par le Web et collecter les données à l’insu de l’utilisateur.
Les hackers peuvent donc facilement utiliser toutes les vulnérabilités précisées avant.
La manière la plus simple est similaire au spam, en attaquant une très grande quantité d’objets connectés. Un certain nombre seront non sécurisés,et permettent non seulement de collecter des données ou de modifier leur comportement mais aussi de diffuser des ransomware qui auraient un impact bien plus critiques que le cryptage de données.La mise hors service d’un véhicule connecté,la désactivation d’un système d’alarme combinée à un cambriolage voire le risque létale sur des objets comme des pacemakers,des dialyseurs… peuvent exercer une pression énorme auprès de victimes,s’ils ne paient pas immédiatement en Bitcoin une rançon élevée.
Une approche aussi particulièrement novatrice est l’utilisation de drones programmés pour quadriller un quartier résidentiel avec un sniffer en wifi et Bluetooth, qui permet de détecter rapidement les maisons ayant des serrures connectées mal sécurisées et d’y associer des personnes mal intentionnées.
Quelles recommandations formuleriez-vous pour améliorer la sécurité des objets connectés?
Tout d'abord il y a des recommandations simples telles que ne capturer que les informations dont on a besoin, les traiter localement plutôt que de les transmettre sur Internet, transmettre des infos que sur des périodes très courtes, plutôt que de laisser ouvert le bluetooth le wifi par exemple, ne pas stocker de données critiques complètes localement et notamment des informations nominatives comme l’adresse, l’ identité, les numéros de carte de crédit…
L’information peut notamment être décomposée en deux une locale et une à distance tant que cela ne bloque pas l’usage local.
L’objet connecté doit non seulement être capable d’agir localement sans connexion internet mais aussi capable de rejeter des ordres incohérents (ex doubler la dose d’insuline) .
Le privacy by design comme l’illustre la caméra de surveillance Myfox dont le clapet se ferme automatiquement quand on rentre dans la maison et s'ouvre quand on sort afin de ne capter que les informations en cas d’intrusion.
Pour aller plus loin, un audit de la sécurité de la chaîne complète du flux de données pour identifier l’ensemble des vulnérabilités est essentiel pour bien comprendre les risques et les solutions à mettre en place.
Ensuite, c’est un choix stratégique à réaliser entre le coût de sécuriser, le risque d’être hacké sur cette vulnérabilité et l’impact si cela arrive pour l’utilisateur final et l’entreprise. Le FMEA (Failure mode and effects analysis) est un bon outil pour analyser ces risques.
Dans certains cas, il peut être même préférable de supprimer certaines fonctionnalités en raison des risques potentiels ou des coûts
Dernier point, il est aussi essentiel d’éduquer ses clients, qu’ils comprennent les limites de la sécurisation afin d’éviter qu’ils se reposent entièrement sur l’objet connecté même si à court terme. Cela peut paraître peu vendeur, mais la confiance à long terme est à ce prix.
Quelles sont les perspectives d’avenir pour la sécurité IoT ?
La sécurité dans l’IoT devient une question centrale, car elle a un impact qui va au-delà de l’objet et de l’utilisateur, c’est l’ effet tâche d’huile.
Pour donner un exemple, une entreprise qui mettrait sur le marché un objet connecté insuffisamment sécurisé pourrait perdre sa crédibilité sur la qualité de tous ses produits connectés ou pas et pourrait fortement ternir l’image de l’entreprise, comme l'illustre l'exemple de Hello Barbie qui a été hacké permettant aux hackeurs d'entendre les conversations des filles jouant avec leur poupée ou toute conversation aux alentours.
En particulier, une entreprise établie doit être particulièrement attentive à diagnostiquer la sécurité de bout en bout si elle rachète une startup fabricant des objets connectés.
D’autre part, nous assisterons comme pour Internet, à la fois à une standardisation de la sécurité pour l’IoT et donc une réduction des coûts mais aussi à un perfectionnement des attaques.
C’est une course inévitable à laquelle il est nécessaire de participer en sécurisant de mieux en mieux ses produits.
Néanmoins il faut garder à l’esprit qu’il ne faut pas que la sécurité tue le produit en terme de coûts ou d’expérience utilisateur.
Des solutions et principes simples, un design bien conçu en amont intégrant la sécurité permettent de réduire nettement la facture s’ils sont bien challengés par un audit de sécurité.
Dimitri Carbonnelle, Fondateur de Livosphere - Expert en IoT et technologies innovantes
Écrire commentaire