L’IOT : maillon faible naissant de la cybersécurité ?
Des communications non chiffrées, des firmwares non mis à jour, un accès facilité par des communications sans- fil peu sécurisées… Les objets connectés sont une porte d’entrée royale pour les cybercriminels. Ces derniers sont de plus en plus nombreux à mener des attaques sur l’iot. Entre la prise de contrôle de l’objet, l’intrusion sur le SI ou l’altération de données collectées, la menace est très sérieuse. Panorama des enjeux cyber de l’iot et des mesures à prendre pour protéger le SI.
La photocopieuse, les caméras de vidéoprotection, l’écran d’accueil du hall d’entrée, le distributeur de boisson, le système de chauffage, l’ascenseur… tous ces équipements peuvent potentiellement être raccordés au SI et devenir des « objets connectés » . Ils gagnent ainsi en fonctionnalités, au niveau de leur exploitation et de leur maintenance. Mais revers de la médaille, leur multiplication au sein de l’entreprise augmente d’autant la surface d’attaque pour les cybercriminels. Car la grande majorité de ces équipements IOT ne sont pas sécurisés. Près de 98 % du trafic des objets connectés en environnement professionnel n’est pas chiffré, conclut une récente étude de la société américaine de cybersécurité Palo Alto Networks1. Et 57 % de ces équipements IOT sont vulnérables à des attaques de gravité moyenne à élevée. Parmi les principales causes, des failles découvertes dans leurs firmware qui ne sont pas corrigées. Pour la DSI, une des principaux problèmes de l’iot est qu’il échappe bien souvent à sa vigilance, le rapprochant ainsi du Shadow IT. « De nombreux appareils connectés sont introduits dans l’entreprise par des employés ou des prestataires extérieurs en échappant au contrôle de la DSI et donc sans tenir compte de sa politique de sécurité » , s’alarme Thierry Karsenti, vice- président
EMEA Systems Engineering chez Palo Alto Networks. « C’est une aubaine pour les cybercriminels qui disposent alors de points d’entrée relativement discrets. Car il n’est pas nécessaire d’avoir un accès physique avec ces objets connectés dont bon nombre fonctionnent via des réseaux radio. »
Si la photocopieuse ou l’écran du hall d’accueil sont en général connectés en filaire, d’autres équipements comme les capteurs de température, les alarmes ou même des caméras de vidéoprotection exploitent de plus en plus des réseaux radio IOT. Ces derniers reposent sur des technologies telles que Sigfox, Lorawan, LTE- M ou NB- IOT ( lire L’informaticien n° 193). D’autres protocoles radio sont également exploités comme le M- Bus wireless, le Bluetooth Low Energy, le Zigbee, voire tout simplement une connexion Wi- Fi. Pour le cybercriminel, il suffit d’être dans le périmètre de communication
de ces objets connectés, qui peut dépasser la centaine de mètres, pour tenter une attaque. « Les types de menaces sont multiples. Il y a l’intrusion sur le SI via l’iot, mais aussi le vol ou l’altération des données collectées, ainsi que des attaques de type DDOS » , résume Benoît Grunemwald, expert cybersécurité chez ESET France. L’intrusion ou le vol de données serviront notamment à de l’espionnage industriel ou à une opération malveillante de type ransomware. L’attaque DDOS aura pour objectif de bloquer le fonctionnement des objets connectés ou même du SI. Quant à l’alternation des données, il ne faut pas la sous- estimer, soulignent les experts en sécurité. Elle permet par exemple d’envoyer une alerte de panne et bloquer un ascenseur, modifier le comportement d’une climatisation ou d’un réseau d’éclairage, ou pire : modifier la composition ou la qualité d’un produit sur une chaîne de production.
« De nombreux appareils connectés sont introduits dans l’entreprise par des employés ou des prestataires extérieurs en échappant au contrôle de la DSI » Thierry Karsenti vice- président EMEA Systems Engineering chez Palo Alto Networks