"Les objets connectés sont les chevaux de Troie de notre époque"[TRIBUNE de Christophe da Fonseca, PAESSLER] Les Trojans (ou chevaux de Troie) sont des logiciels malveillants (ou malwares) encore très répandus, mais la plupart des internautes surfant sur le Web savent les identifier et éviter leurs dangers. Désormais, ce sont les objets connectés qui confrontent leurs utilisateurs à cet effet de surprise du cheval de Troie. Pour preuve, les attaques par l’IoT ont augmenté de 600% en 2017 ! Alors pourquoi les appareils IoT représentent-ils toujours un énorme marché malgré leurs failles de sécurité béantes ? Parce qu’ils sont vendus sans avertissement sur les risques potentiels qu’ils exposent, explique ici Christophe da Fonseca, Sales Development Manager France chez Paessler AG.... Prenons l’exemple du vendeur le plus honnête du monde qui souhaite vendre des solutions IoT à une PME, dans le domaine de la maintenance prédictive ou pour un processus industriel. Quel que soit l’objet à vendre, le prix est un facteur déterminant et le patron de l’entreprise sera ravi si l’affaire peut être conclue à un rapport efficacité-coût optimal. Mais avant de finaliser la vente, le vendeur étant particulièrement honnête, il avertit ce patron que ces solutions IoT feront partie du réseau de l’entreprise, qu’elles sont concrètement impossibles à protéger, qu'elles représentent une aberrante porte ouverte pour une variété d’attaques, et qu’un réseau compromis lui gâchera sérieusement la vie pour un bon moment. Quelles sont les chances que cette affaire soit finalement conclue ? Rappelons-nous maintenant de la bataille de Troie en Grèce antique. Après dix ans de combats contre les Grecs, les Troyens pensaient que le fameux cheval de bois était un symbole de leur victoire et l’amenèrent dans leur cité, ce qui se retourna finalement contre eux. A n’en pas douter, la force et la particularité d’un cheval de Troie demeure dans son effet de surprise. En informatique, les Trojans (chevaux de Troie) sont des logiciels malveillants (ou malwares) encore très répandus et aujourd’hui ce sont les objets connectés qui sont confrontés à cet effet de surprise du cheval de Troie. Alors, pourquoi ces appareils IoT ne sont-ils donc pas simplement sécurisés ? La sécurité ne fait pas partie de leur processus de création Nous n’achetons pas un objet connecté parce qu’il renferme une technologie parfaitement bien pensée mais plutôt parce qu’il nous étonne par ses fonctionnalités futuristes qui rendent certaines choses intelligentes. Le frigo intelligent ou la lampe connectée ne réinventent pas le frigo ou la lampe, mais nourrissent notre fascination pour l’innovation. C’est pour cette raison qu’ils sont construits et achetés. Cela ne se traduit évidemment pas de la même manière pour les solutions industrielles, mais de nombreux parallèles peuvent être établis. Les études utilisateur, réalisées dans le cadre du processus de conception, aboutissent toujours à la conclusion que l’IoT est un nouveau marché fascinant et que les utilisateurs de la première heure recherchent avant tout de la nouveauté et de l’utilité, mais pas de la sécurité. La sécurité augmenterait le prix Les objets connectés sont devenus attractifs pour le grand public en devenant de moins en moins chers. Au sein d’une concurrence mondiale, le prix fait toute la différence. Le coût moyen des capteurs IoT chute régulièrement, si bien que d’ici 2020, il sera en moyenne inférieur à 0,5 euro. Même les fabricants d’équipements IIoT (IoT industriel) spécialisés se mènent une concurrence féroce. Dépenser beaucoup d’argent dans le développement de fonctions améliorant la sécurité n’a donc pas à priori de sens pour les fabricants. L’industrie, de son côté, cherche à obtenir des prix compétitifs grâce à des achats en masse. Et pour les consommateurs, depuis 2013, il suffit de quelques euros de rabais et de belles images sur des pages produit Amazon pour assurer le succès des objets connectés. Franchement, personne ne s’en soucie Le problème vient donc en partie du processus de fabrication et des études marketing, générant une attitude à double sens de la part des utilisateurs comme des fabricants. Et puisque ralentir un marché en pleine croissance avec des problèmes de sécurité n’est pas bon pour le business, personne n’en parle. Alors, qu’est-ce que l’on peut y faire ? Les objets connectés ne peuvent pas être totalement surveillés et quoi qu’on fasse, une part d’incertitude demeure. Même s’ils ont été spécifiquement déployés par le service IT d’une entreprise, les mesures de sécurité traditionnelles, telles que les pare-feux, ne fonctionnent pas. Les équipements IoT ne peuvent donc être contrôlés que de manière limitée par l’équipe IT car ils fonctionnent au-delà du système fermé de l’entreprise. Ceci étant dit, voici trois conseils qui ne permettent certes pas d’obtenir une sécurité complète, mais qui aideront à se rapprocher le plus possible d’une certaine “tranquillité d’esprit” avec les appareils IoT. Trier par importance La priorité est de se préoccuper avant tout de ses données les plus importantes, telles que celles stockées sur l’appareil IoT et utilisées par des applications, plutôt que de protéger l’ensemble de l’objet connecté. Pour sécuriser ces données, il n’est en effet pas nécessaire de sauvegarder l’intégralité de l’appareil IoT, il suffit de disposer d’un espace ou d’un conteneur séparé dans lequel la donnée est stockée. De nombreuses entreprises se sont d’abord tournées vers le cloud pour sécuriser les données provenant d’appareils IoT. Mais dès qu’un objet connecté mobile contient des données sensibles (par exemple son identifiant ou des tokens de paiement), il devient une cible intéressante pour les hackers. Si les systèmes IoT sont gérés par un portail d’administration central et que celui-ci se retrouve désactivé, il ne peut alors plus signaler les attaques sur les appareils individuels. Stocker dans un périmètre sécurisé Comme les appareils IoT sont souvent mobiles, il est très difficile d’empêcher les applications malveillantes d’entrer en contact avec eux. Une manière d’éviter cela est de stocker l’identifiant de l’objet dans un espace sécurisé. C’est comme ça que l’on pourra définir qui est autorisé à communiquer avec l’appareil en liant l’accès à des informations d’identification sécurisées (telles que des identifiants numériques ou un code PIN). Ces informations d’identification peuvent être attribuées à des personnes ou des entreprises et sécurisées localement dans un périmètre sûr. Surveiller les effets de répercussion La supervision, aussi sophistiquée soit-elle, ne peut pas détecter directement qu’un appareil IoT est devenu une passerelle pour certaines attaques. Mais il y a en revanche des effets de répercussion qui peuvent être identifiés. Comme mentionné précédemment, un objet connecté devient une partie intégrante du réseau et à travers ce dernier, un outil de supervision peut reconnaître un trafic de données anormalement élevé sur un port spécifique. La reconnaissance de modèles est également capable de détecter qu’un trafic inhabituel de données se produit sur le réseau, comme lorsque deux appareils communiquent soudainement entre eux, alors que cela n’est jamais arrivé auparavant. Un avertissement est alors envoyé à l'administrateur système afin qu’il repère rapidement l’objet en question. Repensons à l’image du cheval de Troie. Il est vain de mener une guerre pendant dix ans sans la gagner à la fin. Mais finalement, la perdre parce que l’on n’a pas anticipé ce qui se cachait à l’intérieur d’un cheval en bois est encore plus tragique. Nous n’en sommes encore qu’au début de la sécurité IoT mais espérons que cela ne prenne pas dix ans pour que l’importance de cette sécurité s’ancre fermement dans les esprits. Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC https://www.linkedin.com/showcase/embedded-sec/ |