Des communications non chiffrées, des firmwares non mis à jour, un accès facilité par des communications sans-fil peu sécurisées… Les objets connectés sont une porte d’entrée royale pour les cybercriminels. Ces derniers sont de plus en plus nombreux à mener des attaques sur l’IoT. Entre la prise de contrôle de l’objet, l’intrusion sur le SI ou l’altération de données collectées, la menace est très sérieuse. Panorama des enjeux cyber de l’IoT et des mesures à prendre pour protéger le SI.
La photocopieuse, les caméras de vidéoprotection, l’écran d’accueil du hall d’entrée, le distributeur de boisson, le système de chauffage, l’ascenseur… tous ces équipements peuvent potentiellement être raccordés au SI et devenir des «objets connectés». Ils gagnent ainsi en fonctionnalités, au niveau de leur exploitation et de leur maintenance. Mais revers de la médaille, leur multiplication au sein de l’entreprise augmente d’autant la surface d’attaque pour les cybercriminels. Car la grande majorité de ces équipements IoT ne sont pas sécurisés. Près de 98% du trafic des objets connectés en environnement professionnel n’est pas chiffré, conclut une récente étude de la société américaine de cybersécurité Palo Alto Networks1 . Et 57% de ces équipements IoT sont vulnérables à des attaques de gravité moyenne à élevée. Parmi les principales causes, des failles découvertes dans leurs firmware qui ne sont pas corrigées.
Pour la DSI, une des principaux problèmes de l’IoT est qu’il échappe bien souvent à sa vigilance, le rapprochant ainsi du Shadow IT. « De nombreux appareils connectés sont introduits dans l’entreprise par des employés ou des prestataires extérieurs en échappant au contrôle de la DSI et donc sans tenir compte de sa politique de sécurité », s’alarme Thierry Karsenti, vice-président EMEA Systems Engineering chez Palo Alto Networks. « C’est une aubaine pour les cybercriminels qui disposent alors de points d’entrée relativement discrets. Car il n’est pas nécessaire d’avoir un accès physique avec ces objets connectés dont bon nombre fonctionnent via des réseaux radio.»
Si la photocopieuse ou l’écran du hall d’accueil sont en général connectés en filaire, d’autres équipements comme les capteurs de température, les alarmes ou même des caméras de vidéoprotection exploitent de plus en plus des réseaux radio IoT. Ces derniers reposent sur des technologies telles que Sigfox, LoRaWan, LTE-M ou NB-IoT (lire L’Informaticien n°193). D’autres protocoles radio sont également exploités comme le M-Bus wireless, le Bluetooth Low Energy, le Zigbee, voire tout simplement une connexion Wi-Fi.
Pour le cybercriminel, il suffit d’être dans le périmètre de communication de ces objets connectés, qui peut dépasser la centaine de mètres, pour tenter une attaque. « Les types de menaces sont multiples. Il y a l’intrusion sur le SI via l’IoT, mais aussi le vol ou l’altération des données collectées, ainsi que des attaques de type DDoS », résume Benoît Grunemwald, expert cybersécurité chez ESET France. L’intrusion ou le vol de données serviront notamment à de l’espionnage industriel ou à une opération malveillante de type ransomware. L’attaque DDoS aura pour objectif de bloquer le fonctionnement des objets connectés ou même du SI. Quant à l’alternation des données, il ne faut pas la sous-estimer, soulignent les experts en sécurité. Elle permet par exemple d’envoyer une alerte de panne et bloquer un ascenseur, modifier le comportement d’une climatisation ou d’un réseau d’éclairage, ou pire : modifier la composition ou la qualité d’un produit sur une chaîne de production.
Ces exemples restent bien entendu très théoriques car peu de cas d’attaques ont été rendus publics. Dans une fiche sur l’IOT, publiée en mars dernier, l’Anssi évoque l’attaque d’un casino en 2018 : « Il s’est fait pirater la base de données de ses plus gros clients. Les pirates ont réussi à y accéder en passant par le thermomètre connecté insuffisamment sécurisé d’un aquarium de l’établissement », indique l’agence nationale. De son côté la société de cybersécurité Darktrace donne d’autres exemples, parfois incongrus. « Ces dernières années, nous avons détecté toutes sortes de menaces IoT étonnantes, comme un casier intelligent compromis dans un parc d’attractions européen. Dans un autre cas, nous avons surpris des pirates qui tentaient d’infiltrer des systèmes de vidéosurveillance connectés à internet pour faire de l’espionnage industriel et obtenir des informations hautement confidentielles dans un grand cabinet de conseil mondial », confie Max Heinemeyer, Directeur Traque et Menace.
Ce qui est certain, c’est que le nombre d’attaques IoT est en augmentation. Entre 2018 et 2019, l’entreprise de cybersécurité Kaspersky a estimé qu’elles avaient été multipliées par neuf au niveau mondial. Et selon les experts du secteur, il n’y a pas de raison que cette tendance se soit inversée depuis. «Avec le télétravail, le risque IoT présent au domicile des collaborateurs, où il y a aussi des objets connectés, s’est ajouté à celui dans les locaux de l’entreprise», souligne Benoît Grunemwald.
Segmentation du réseau et IA
Face aux cyberisques de l’IoT : quelles mesures prendre pour protéger son SI? La première est de segmenter le réseau, s’accordent à dire l’ensemble des experts en sécurité. « Il ne faut pas qu’un téléviseur puisse discuter avec le réseau téléphonique ou avec le serveur qui contient la paie et la RH », résume-t-on chez ESET. Un avis partagé par Chuck McAuley, principal security engineer, chez Keysight Technologies : « L’une des principales choses à faire pour sécuriser les objets connectés est de limiter la communication avec d’autres réseaux et appareils qui n’ont pas d’autorisation.» Pour cela, il recommande notamment d’utiliser les listes de contrôle d’accès pour «limiter les parleurs», d’utiliser les VPN chaque fois que possible et d’activer des protocoles sécurisés tels que TLS.
Cette segmentation peut être combinée avec des outils d’IAM (Identity and Access Management). « Une couche d’IAM permet d’identifier et authentifier chaque objet connecté afin de pouvoir surveiller son comportement et l’intégrer à la politique de sécurité de l’entreprise », souligne Éric Piroux, Strategic Accounts Director chez Entrust. « Vous savez ainsi que tel à tel objet se connecte à heure, à tel endroit pour envoyer tel type d’informations. S’il ne s’agit pas de son comportement habituel, la plate-forme de contrôle envoie une alerte.»
Une approche défendue également par Alcatel-Lucent Enterprise : « Les appareils IoT sont authentifiés au point de connexion, via le port du commutateur ou le SSID Wi-Fi, et sont associés à un profil basé sur leur identité. Ce profil détermine le segment de réseau virtuel, le VLAN ou VPN, auquel l’appareil est mappé ainsi que l’ensemble des politiques de sécurité et de QoS associées à leur rôle », précise Sébastien Claret, Directeur Business Development.
Pour analyser les comportements des objets connectés, l’Intelligence artificielle est une technologie qui offrirait des atouts indéniables. « L’IA permet de détecter les attaques émergentes mais aussi d’y répondre de manière autonome. Basée sur un apprentissage des comportements “normaux”, l’IA est cruciale pour détecter les attaques inconnues et inédites en matière d’IoT », estime Max Heinemeyer chez Darktrace. Un point de vue partagé par Palo Alto Networks. « Nous intégrons de l’IA dans nos firewalls de dernière génération afin d’identifier des comportements anormaux grâce au machine learning », confie Thierry Karsenti.
L’épineuse question du chiffrement
Sans surprise, les acteurs du secteur recommandent un chiffrement de bout en bout des communications IoT. Mais cela n’est pas toujours facile à mettre en place et dépend notamment du type de réseau utilisé. « Le choix du protocole de communication est prépondérant car il peut intégrer ou non un chiffrement natif des messages échangés », souligne Bernardo Cabrera, directeur d’Objenious (Bouygues Telecom). « Par exemple, dans le cas particulier de LoRaWan, les données sont cryptées de façon native en AES 128 ».
Les technologies cellulaires, telles que LTE-M ou NB-IoT, offrent des niveaux de sécurité plus élevés, avec notamment des possibilités de cryptage en AES 256. « Sur un réseau IoT cellulaire, la connectivité offre une authentification réciproque de l’objet et du réseau, un chiffrement du lien, le tout étant basé sur un élément matériel de sécurité : la carte SIM », rappelle Jean-Marc Lafond, directeur du portefeuille IoT d’Orange. De son côté, la technologie Sigfox n’intègre pas de chiffrement sur les données transmises. « Il y a bien un chiffrement, à base d’AES 128, mais il est, par défaut, sur la partie authentification uniquement », confie Christophe Fourtet, co-fondateur et directeur scientifique de Sigfox. « La quasi-totalité des clients n’ont pas de problème avec ça. Soit, crypter la donnée n’a aucun intérêt – pas sensible; soit elle est suffisamment “obscure” pour ne pas avoir besoin d’être cryptée; soit elle est cryptée par le client, dans son container, avec un procédé qui est le sien.»
Selon les experts en sécurité, le plus prudent reste d’ajouter une couche de chiffrement au-dessus des protocoles IoT et de ne pas se reposer uniquement sur eux. « Il faut une surcouche qui va dépasser les problématiques réseau, mais adaptée à l’environnement contraint de l’IoT, c’est-à-dire fonctionnant sur des équipements relativement simples techniquement et qui doivent rester économes en énergie », indique ainsi Hatem Oueslati, CEO et co-fondateur d’IoTerop. Cette jeune pousse propose une solution d’identification et de chiffrement pour les équipements IoT, avec un cryptage en AES 128 ou 256. Elle peut fonctionner sur des équipements animés par un processeur 8 bits, dotés de 5 Ko de RAM et de seuls 30 Ko de mémoire flash. « Cela couvre 90% des équipements IoT », assure-t-on chez IoTerop. Reste que cette solution ne fonctionne pas sur la technologie Sigfox et doit être intégrée par les fabricants de matériel. Une trentaine d’industriels sont déjà clients de la start-up française, dont l’Américain Itron spécialisé dans les appareils de mesure et les compteurs. Des discussions sont en cours pour une intégration encore plus large, notamment par des acteurs français.
Mettre à jour les équipements et les mots de passe
Les experts en sécurité recommandent également de mettre à jour régulièrement les firmwares des objets connectés, même si cela est complexe lorsque leur volume est très large. Les solutions de supervision d’objets connectés, proposées par les acteurs de l’IoT ou les sociétés de cybersécurité, permettent cependant de lancer des mises à jour massives à distance. Mais sans ce type de plate-forme, une intervention physique sur site est souvent nécessaire, ce qui peut bien entendu s’avérer très laborieux. Dans sa récente fiche sur l’IoT, l’Anssi recommande également de modifier les mots de passe par défaut des objets connectés. « Les mots de passe, codes PIN, etc. générés par défaut par les fabricants sont généralement trop faibles : trop peu de caractères utilisés, faciles à deviner ou publiquement connus, ils n’assurent pas un niveau de sécurité suffisant », souligne l’Anssi.
Une situation de moins en moins catastrophique
Selon les experts en sécurité, la situation est préoccupante, mais moins qu’il y a quelques années. Globalement, un nombre grandissant d’entreprises prend en compte la problématique de l’IoT dans sa politique de sécurité. Et surtout, les fabricants d’objets connectés ne relèguent plus la cybersécurité au second plan, comme cela était encore le cas récemment, principalement pour des questions de coûts de fabrication. « Les solutions de cybersécurité vont de plus en plus être implémentées dans les équipements IoT », prédit ainsi Hatem Oueslati. « Depuis environ un an, il y a une réelle prise de conscience des industriels. C’était plutôt mal parti au début, mais aujourd’hui la situation évolue dans le bon sens », conclut-il.
1 : Rapport 2020 sur les menaces IoT, publié en mars 2020 par l’Unit 42, division de Palo Alto Networks, sur la base d’1,2 million d’appareils testés aux Etats-Unis.
