L’IOT, maillon faible naissant de la cybersécurité ?
Ces exemples restent bien entendu très théoriques car peu de cas d’attaques ont été rendus publics. Dans une fiche sur L’IOT, publiée en mars dernier, l’anssi évoque l’attaque d’un casino en 2018 : « Il s’est fait pirater la base de données de ses plus gros clients. Les pirates ont réussi à y accéder en passant par le thermomètre connecté insuffisamment sécurisé d’un aquarium de l’établissement » , indique l’agence nationale. De son côté la société de cybersécurité Darktrace donne d’autres exemples, parfois incongrus. « Ces dernières années, nous avons détecté toutes sortes de menaces IOT étonnantes, comme un casier intelligent compromis dans un parc d’attractions européen. Dans un autre cas, nous avons surpris des pirates qui tentaient d’infiltrer des systèmes de vidéosurveillance connectés à internet pour faire de l’espionnage industriel et obtenir des informations hautement confidentielles dans un grand cabinet de conseil mondial » , confie Max Heinemeyer, Directeur Traque et Menace.
Ce qui est certain, c’est que le nombre d’attaques IOT est en augmentation. Entre 2018 et 2019, l’entreprise de cybersécurité Kaspersky a estimé qu’elles avaient été multipliées par neuf au niveau mondial. Et selon les experts du secteur, il n’y a pas de raison que cette tendance se soit inversée depuis. « Avec le télétravail, le risque IOT présent au domicile des collaborateurs, où il y a aussi des objets connectés, s’est ajouté à celui dans les locaux de l’entreprise » , souligne Benoît Grunemwald.
Segmentation du réseau et IA
Face aux cyberisques de l’iot : quelles mesures prendre pour protéger son SI ? La première est de segmenter le réseau, s’accordent à dire l’ensemble des experts en sécurité. « Il ne faut pas qu’un téléviseur puisse discuter avec le réseau téléphonique ou avec le serveur qui contient la paie et la RH » , résume- t- on chez ESET. Un avis partagé par Chuck Mcauley, principal security engineer, chez Keysight Technologies : « L’une des principales choses à faire pour sécuriser les objets connectés est de limiter la communication avec d’autres réseaux et appareils qui n’ont pas d’autorisation. » Pour cela, il recommande notamment d’utiliser les listes de contrôle d’accès pour « limiter les parleurs » , d’utiliser les VPN chaque fois que possible et d’activer des protocoles sécurisés tels que TLS. Cette segmentation peut être combinée avec des outils D’IAM ( Identity and Access Management). « Une couche D’IAM permet d’identifier et authentifier chaque objet connecté afin de pouvoir surveiller son comportement et l’intégrer à la politique de sécurité de l’entreprise » , souligne Éric Piroux, Strategic Accounts Director chez Entrust. « Vous savez ainsi que tel à tel objet se connecte à heure, à tel endroit pour envoyer tel type d’informations. S’il ne s’agit pas de son comportement habituel, la plate- forme de contrôle envoie une alerte. »
Une approche défendue également par Alcatel- Lucent Enterprise : « Les appareils IOT sont authentifiés au point de connexion, via le port du commutateur ou le SSID Wi- Fi, et sont associés à un profil basé sur leur identité. Ce profil détermine le segment de réseau virtuel, le VLAN ou VPN, auquel l’appareil est mappé ainsi que l’ensemble des politiques de sécurité et de QOS associées à leur rôle » , précise Sébastien Claret,
Directeur Business Development. Pour analyser les comportements des objets connectés, l’intelligence artificielle est une technologie qui offrirait des atouts indéniables. « L’IA permet de détecter les attaques émergentes mais aussi d’y répondre de manière autonome. Basée sur un apprentissage des comportements “normaux”, L’IA est cruciale pour détecter les attaques inconnues et inédites en matière d’iot » , estime Max Heinemeyer chez Darktrace. Un point de vue partagé par Palo Alto Networks. « Nous intégrons de L’IA dans nos firewalls de dernière génération afin d’identifier des comportements anormaux grâce au machine learning » , confie Thierry Karsenti.
L’épineuse question du chiffrement
Sans surprise, les acteurs du secteur recommandent un chiffrement de bout en bout des communications IOT. Mais cela n’est pas toujours facile à mettre en place et dépend notamment du type de réseau utilisé. « Le choix du protocole de communication est prépondérant car il peut intégrer ou non un chiffrement natif des messages échangés » , souligne Bernardo Cabrera, directeur d’objenious ( Bouygues Telecom). « Par exemple, dans le cas particulier de Lorawan, les données sont cryptées de façon native en AES 128 » .
Les technologies cellulaires, telles que LTE- M ou NB- IOT, offrent des niveaux de sécurité plus élevés, avec notamment des possibilités de cryptage en AES 256. « Sur un réseau IOT cellulaire, la connectivité offre une authentification réciproque de l’objet et du réseau, un
chiffrement du lien, le tout étant basé sur un élément matériel de sécurité : la carte SIM » , rappelle Jean- Marc Lafond, directeur du portefeuille IOT d’orange. De son côté, la technologie Sigfox n’intègre pas de chiffrement sur les données transmises. « Il y a bien un chiffrement, à base D’AES 128, mais il est, par défaut, sur la partie authentification uniquement » , confie Christophe Fourtet, co- fondateur et directeur scientifique de Sigfox. « La quasi- totalité des clients n’ont pas de problème avec ça. Soit, crypter la donnée n’a aucun intérêt – pas sensible ; soit elle est suffisamment “obscure” pour ne pas avoir besoin d’être cryptée ; soit elle est cryptée par le client, dans son container, avec un procédé qui est le sien. »
Selon les experts en sécurité, le plus prudent reste d’ajouter une couche de chiffrement au- dessus des protocoles IOT et de ne pas se reposer uniquement sur eux. « Il faut une surcouche qui va dépasser les problématiques réseau, mais adaptée à l’environnement contraint de l’iot, c’est- à- dire fonctionnant sur des équipements relativement simples techniquement et qui doivent rester économes en énergie » , indique ainsi Hatem Oueslati, CEO et co- fondateur d’ioterop. Cette jeune pousse propose une solution d’identification et de chiffrement pour les équipements IOT, avec un cryptage en AES 128 ou 256. Elle peut fonctionner sur des équipements animés par un processeur 8 bits, dotés de 5 Ko de RAM et de seuls 30 Ko de mémoire flash. « Cela couvre 90 % des équipements IOT » , assure- t- on chez Ioterop. Reste que cette solution ne fonctionne pas sur la technologie Sigfox et doit être intégrée par les fabricants de matériel. Une trentaine d’industriels sont déjà clients de la start- up française, dont l’américain Itron spécialisé dans les appareils de mesure et les compteurs. Des discussions sont en cours pour une intégration encore plus large, notamment par des acteurs français.
Mettre à jour les équipements et les mots de passe
Les experts en sécurité recommandent également de mettre à jour régulièrement les firmwares des objets connectés, même si cela est complexe lorsque leur volume est très large. Les solutions de supervision d’objets connectés, proposées par les acteurs de l’iot ou les sociétés de cybersécurité, permettent cependant de lancer des mises à jour massives à distance. Mais sans ce type de plate- forme, une intervention physique sur site est souvent nécessaire, ce qui peut bien entendu s’avérer très laborieux. Dans sa récente fiche sur l’iot, l’anssi recommande également de modifier les mots de passe par défaut des objets connectés. « Les mots de passe, codes PIN, etc. générés par défaut par les fabricants sont généralement trop faibles : trop peu de caractères utilisés, faciles à deviner ou publiquement connus, ils n’assurent pas un niveau de sécurité suffisant » , souligne l’anssi.
« Le choix du protocole de communication est prépondérant car il peut intégrer ou non un chiffrement natif des messages échangés » Bernardo Cabrera directeur d’objenious ( Bouygues Telecom)
Une situation de moins en moins catastrophique
Selon les experts en sécurité, la situation est préoccupante, mais moins qu’il y a quelques années. Globalement, un nombre grandissant d’entreprises prend en compte la problématique de l’iot dans sa politique de sécurité. Et surtout, les fabricants d’objets connectés ne relèguent plus la cybersécurité au second plan, comme cela était encore le cas récemment, principalement pour des questions de coûts de fabrication. « Les solutions de cybersécurité vont de plus en plus être implémentées dans les équipements IOT » , prédit ainsi Hatem Oueslati. « Depuis environ un an, il y a une réelle prise de conscience des industriels. C’était plutôt mal parti au début, mais aujourd’hui la situation évolue dans le bon sens » , conclut- il. ✖