Objets connectés, open bar pour les hackers
La multiplication des objets connectés dans l’entreprise ouvre grand les portes aux pirates
Téléphones, ordinateurs, mais aussi caméras, imprimantes, machines à café, montres ou encore ampoules… De plus en plus présents dans les entreprises mais souvent peu protégés, les objets
C’est un fait, les objets connectés ne cessent de se multiplier. Aux côtés des traditionnels ordinateurs, imprimantes, téléphones ou tablettes, on voit apparaître de nouvelles générations d’ustensiles connectés, comme les montres, les balances, les vêtements, les machines à café… Un grand nombre d’objets qui jusqu’à présent n’avaient pas accès à Internet obtiennent cette possibilité. Un phénomène qui touche de plus en plus les entreprises. Au-delà des objets précités, elles s’équipent de caméras intelligentes, d’ampoules reliées au net, et bientôt de voitures autonomes, de postes de travail (bureaux, sièges…) qui repèrent la présence d’un collaborateur et font remonter les informations de connexion…
On appelle cette famille d’objets connectés sont des portes d’entrées béantes pour les menaces informatiques. Les entreprises utilisatrices ne peuvent plus faire l’économie d’un recensement des objets connectés présents en leur connectés IoT pour Internet of things. Sans parler des robots et des automates (ou OT) ! Dans l’industrie, les automates sont pilotés par informatique et se retrouvent de plus en plus connectés au réseau interne de l’entreprise, voire à Internet. L’automatisation connectée concerne toujours plus de secteurs d’activités. “On constate par exemple ce phénomène dans les centres logistiques, où des robots sont souvent à la manoeuvre, analyse Matthieu Bonenfant, chief marketing officer chez Stormshield. Les systèmes de contrôle/commande d’objets encore plus imposants, comme des voitures, des bateaux, ou des avions, peuvent eux aussi être connectés, envoyer des informations ou en recevoir au travers d’Internet, et donc faire l’objet de nombreuses menaces informatiques.”
Car c’est bien là que le bât blesse, car qui dit accès à Internet dit souvent vulnérabilité à des attaques perpétrées par des hackers. Une chaîne de production peut très bien être complètement bloquée ou contrôlée par des hackers qui opèrent à distance. Plus grave encore, “des vies humaines peuvent être mises en danger, comme dans le cas d’une voiture autonome piratée bien sûr, mais aussi de pacemakers et de pompes à injection (insuline ou morphine) dans les hôpitaux”, prévient Jean-Philippe sein, d’audits de sécurité ou de la mise en place de défenses adéquates. Les fabricants eux aussi doivent dès l’amont prévoir de meilleures sécurités.
Authier, spécialiste de la cybersécurité chez Systémis IT.
Sans s’adonner à la dramatisation, les dégâts que peut provoquer une attaque informatique via des objets connectés ne doivent donc pas être pris à la légère. Le risque est d’ordre technique, financier et en termes d’image de marque, car dans une fuite de données peut concerner celles de la structure, mais aussi les données personnelles des clients. Et la plupart du temps, ces attaques se retournent contre l’entreprise qui en est victime, accusée de ne pas avoir pris la mesure du risque ni les mesures de surveillance nécessaires.
Bien souvent, les entreprises n’ont absolument pas conscience du niveau de menace que constituent les objets connectés. D’ailleurs, elles ne savent en général pas dire combien de ces passerelles vers le net elles abritent.
Les entreprises dans le flou
Problème : bien souvent, les entreprises n’ont absolument pas conscience du niveau de menace que constituent les
objets connectés. D’ailleurs, elles ne savent en général pas dire combien de ces passerelles vers le net elles abritent. La faute à la politique de BYOD (bring your own device), où les salariés sont encouragés à apporter leurs matériels personnels au travail (ordinateurs, téléphones), ou encore au fait que ces derniers possèdent de plus en plus d’objets personnels qui les suivent partout (enceintes, montres, lunettes,…) et qu’ils connectent, sans rien demander à personne, au réseau de l’entreprise. On voit aussi des services acheter des objets connectés, par exemple des imprimantes ou des machines à café, sans en référer à qui de droit… Autant de nouveaux points d’entrée potentiels pour des hackers.
C’est sans doute le premier conseil qu’on pourrait donner aux entreprises : “sensibilisez vos collaborateurs à la nécessité d’en référer à leur direction informatique à chaque fois qu’ils apportent ou achètent un objet qui a un accès à Internet”, recommande PierreYves Popihn, consulting director, division sécurité de NTT France. Autre conseil, avant d’acheter un objet connecté, une entreprise doit se demander si elle en a vraiment besoin. “Les données collectées vont servir au constructeur pour mieux comprendre le consommateur, mais pour l’entreprise elle-même, n’y a-t-il pas danger ? prévient Ivan Kwiatkowski, membre du GReAT (le groupe de chercheurs de Kaspersky). Par exemple, une entreprise veut acheter une imprimante qui commande directement du papier ou une cafetière qui fait de même avec des dosettes… Est-ce vraiment utile, est-ce que ça ne fonctionnait pas très bien avant ?”
Une autre tactique consiste à cloisonner le réseau de l’entreprise afin que les objets connectés aient certes accès à Internet, mais pas au coeur de réseau, aux données sensibles. Autre solution, augmenter le niveau de connaissance et de sécurité de l’entreprise en effectuant une surveillance constante de ces objets (dans l’hypothèse où on les a identifiés). “Il s’agit de faire remonter tous les événements, et de constater des accès inhabituels, explique Jean-Philippe Authier. Par exemple lorsqu’un administrateur se connecte au même moment à deux endroits, ou qu’il se connecte à des serveurs sur lesquels il ne va pas d’habitude…”
Mais la masse de données à traiter est alors phénoménale, puisque dans le cas de caméras de sécurité ou d’ampoules, on parle d’objets connectés 24 heures sur 24, et pas seulement durant les heures de bureau comme pour les ordinateurs ou les téléphones. L’idée est donc de se faire aider. “Il ne faut pas hésiter à faire appel
Et si la solution aux défis posés par les objets connectés se trouvait à la source, c’est-à-dire chez les fabricants ? Ne serait-ce pas à eux de prévoir en amont des solutions de cyberdéfense ?
à des prestataires spécialisés qui vont définir la feuille de route de mise en oeuvre de l’IoT, conseille Marc Ogoli-Socin, cyber security manager pour NTT France. Ils pourront aussi pratiquer des audits et des tests de pénétration une fois la mise en place effectuée.”
La responsabilité des fabricants
Et si la solution aux défis posés par les objets connectés se trouvait à la source, c’est-à-dire chez les fabricants ? Ne serait-ce pas à eux de prévoir en amont des solutions de cyberdéfense ? En d’autres termes, la solution ne serait-elle pas d’acheter du matériel fiable ? Plus facile à dire qu’à faire… Car les fabricants sont soumis au phénomène de la prime au premier arrivé (rush to market, ou time to market pour les anglicistes). “Quand on développe un nouveau produit, le mettre en premier sur le marché donne un avantage concurrentiel, résume Ivan Kwiatkowski. Or les cycles d’évaluation de la sécurité prennent du temps et coûtent de l’argent. Entre un bénéfice à long terme de sécurité et un bénéfice à court terme sur le marché, le choix est parfois trop vite fait.” “L’intégration de tels mécanismes de sécurité peut nécessiter davantage de ressources matérielles (mémoire ou puissance de calcul) ou l’ajout de fonctions supplémentaires dans le logiciel, ce qui augmente les délais et les coûts, prévient Matthieu Bonenfant. Et lorsque la sécurité n’est pas intégrée dès la conception, c’est souvent trop tard. Pour exemple, la possibilité de faire des mises à jour du logiciel de ces objets n’est pas toujours prévue. Cette situation expose les utilisateurs à de sérieux risques puisqu’il ne sera pas possible de corriger ultérieurement des failles de sécurité.”
Même l’option consistant à permettre aux objets connectés de faire des mises à jour en ayant accès au cloud du fabricant n’est pas une assurance tous risques. “Si le cloud du fabricant n’est pas suffisamment protégé, il est possible de compromettre tous les objets en mettant à disposition une mise à jour malveillante, analyse Matthieu Bonenfant. Il est également important que les communications entre les objets et le cloud soient chiffrées pour éviter toute atteinte à la confidentialité des données transférées.” Mais là encore, les fabricants peuvent se faire aider, afin de “travailler sur le développement, de les sécuriser en amont, de pratiquer des tests de pénétration des objets avant et après leur mise sur le marché”, conseille Pierre-Yves Popihn. Une lueur d’espoir nous vient de l’Europe qui, en votant en juin 2019 le Cyber Security Act, va mettre en place une certification européenne pour des produits, services et processus actifs, avec comme priorité l’IoT.
Alors, faut-il brûler tous vos objets connectés et retourner à l’âge pré-numérique ? Pas forcément, car si vous avez conscience de la menace, vous pouvez agir. De plus, si ces risques augmentent, les attaques via des objets connectés ne sont pas encore très nombreuses. En revanche, elles sont particulièrement dangereuses, car le nombre d’objets augmente la surface d’attaque et la possibilité pour les hackers d’exploiter une faille. La sécurisation des objets connectés devrait donc être le grand défi de cybersécurité de demain.