Lors du panel Dans la tête des hackers ciblant les dispositifs IoT de la RSA Conference 2021, les spécialistes en sécurité Itzik Feiglevitch et Justin Sowder ont abordé le problème des vulnérabilités présentes dans de nombreux dispositifs IoT et ont insisté sur l’attention particulière que doivent leur octroyer le département de cybersécurité des entreprises. Pour illustrer cette situation, ils ont donné quelques exemples de l’état de la sécurité de l’IoT dans les entreprises actuelles.
Certains spécialistes en cybersécurité gardent un œil sur les dispositifs IoT de leur entreprise. La plupart du temps, les ascenseurs connectés, la télévision IP, les imprimantes, les caméras de surveillance et tout autre objet connecté ne sont qu’un ensemble hétéroclite de différents dispositifs, chacun avec son propre système d’exploitation et des protocoles spécifiques. Beaucoup d’entre eux manquent d’une interface de contrôle adéquate. Vous voyez ce qu’on veut dire… Votre entreprise en est peut-être remplie.
Pourquoi les dispositifs IoT représentent un risque supplémentaire
Les dispositifs IoT n’appartiennent pas toujours à l’infrastructure adéquate. Bien qu’une imprimante réseau compte comme un dispositif en réseau, ce n’est pas le cas pour les composants des immeubles intelligents ou pour les systèmes de téléphonie IP. En fait, ces appareils sont généralement connectés au même réseau que les postes de travail.
Les allées et venues du personnel peuvent également compliquer les choses. Plus l’équipe chargée de la cybersécurité et de l’informatique change, plus il y a de risque que quelqu’un ne comprenne pas comment les dispositifs IoT sont connectés au réseau.
Le pire, c’est que certains de ces appareils sont accessibles depuis l’extérieur. Ce peut être justifié : le vendeur peut avoir le contrôle sur certaines fonctionnalités de l’appareil comme la possibilité de travailler à distance, l’entretien… Cependant, le fait que des dispositifs soient connectés au réseau de l’entreprise et en même temps à Internet est une mauvaise idée.
C’est peut-être contradictoire, mais la durée de vie des appareils électroniques modernes représente également un risque : certains dispositifs IoT ont une durée de vie très longue et fonctionnent dans un environnement plus complexe au niveau sécurité que ce pour quoi ils ont été conçus.
Par exemple, certains dispositifs fonctionnent sous un système d’exploitation obsolète et donc vulnérable pour lesquels aucune mise à jour n’est disponible. Et même s’il y en avait, il faudrait y avoir accès physiquement (ce qui est très difficile voire impossible). Il peut notamment y avoir des mots de passe immuables, des portes dérobées laissées par erreur dans la dernière mise à jour du microgiciel qu’il faut déboguer et bien d’autres surprises qui font que les professionnels en sécurité informatique ne s’ennuient pas.
Pourquoi les pirates informatiques s’intéressent-ils tant aux dispositifs IoT ?
Les cybercriminels s’intéressent autant aux dispositifs IoT pour plusieurs raisons : à la fois pour mener des attaques contre les hébergeurs et contre les entreprises. Dans quels buts ? Pour :
- Mettre en place un botnet pour mener des attaques DDoS (attaque par déni de service) ;
- Le minage de cryptomonnaie ;
- Voler les données confidentielles ;
- Saboter ;
- Établir un point de départ pour mener des attaques supplémentaires et réaliser des déplacements latéraux dans le réseau.
Études de cas
Des chercheurs ont rendu compte de certains cas assez absurdes qui concernent à la fois les dispositifs ordinaires connectés à Internet et les dispositifs spécialisés. Nous allons nous concentrer sur deux exemples, dont l’un concerne les machines à ultrasons et l’autre les protocoles Zigbee.
Machines à ultrasons
De nos jours, les organismes de santé utilisent un grand nombre de dispositifs IoT pour pratiquer la médecine. Afin d’évaluer la sécurité de tels appareils, des chercheurs ont acheté une machine à ultrasons d’occasion qu’ils ont essayé de pirater. Ils n’ont eu besoin que de cinq minutes pour le faire car le dispositif fonctionnait sous Windows 2000, une version qui n’a jamais été mise à jour. De plus, non seulement ils ont réussi à prendre le contrôle de l’appareil, mais ils ont également eu accès aux données des patients que le propriétaire précédent n’avait pas supprimées.
Les médecins utilisent généralement les appareils médicaux pendant plusieurs années voire même des décennies sans les mettre à jour. C’est compréhensible, tant qu’ils fonctionnent toujours, etc. Cependant, l’organisme qui les a au départ ne les utilise pas pendant très longtemps en général : ils sont souvent revendus et réutilisés de nouveau ensuite.
Protocole Zigbee
Les entreprises utilisent les protocoles réseau Zigbee, développés en 2003 pour permettre une communication sans fil à faible consommation électrique entre les appareils, pour créer un réseau maillé et pour connecter les différents composants d’un immeuble intelligent. Résultat : une passerelle quelque part dans le bureau qui contrôle des dizaines d’appareils différents comme le système d’éclairage intelligent.
Selon certains chercheurs, un cybercriminel peut facilement simuler un dispositif Zigbee sur un ordinateur portable standard, se connecter à une passerelle et distribuer un malware. Le cybercriminel n’a qu’à se trouver dans la zone de couverture du réseau Zigbee, par exemple dans le hall. Une fois qu’il a pris le contrôle de la passerelle, il pourrait saboter le travail de bien des façons comme en éteignant les lumières intelligentes du bâtiment.
Comment sécuriser le réseau d’une entreprise
Les agents de sécurité ne savent pas s’ils doivent protéger les dispositifs IoT connectés au réseau de l’entreprise ou bien s’ils doivent protéger le réseau des appareils IoT. En réalité, les deux problèmes doivent être résolus. Le principal est de s’assurer que chaque objet connecté au réseau et chaque action faite sur ce dernier soient visibles. Pour sécuriser une entreprise, il faut tout d’abord identifier tous les appareils connectés au réseau et les classer de la bonne manière. Il faut aussi, dans l’idéal, analyser tous les risques associés.
La prochaine étape est, bien entendu, la segmentation du réseau à partir des résultats de l’analyse réalisée préalablement. Si un dispositif est indispensable et irremplaçable mais qu’il possède des vulnérabilités que les mises à jour ne peuvent pas corriger, alors vous devez configurer le réseau de façon à ce que les dispositifs vulnérables ne puissent pas accéder à Internet ni à d’autres segments du réseau. Dans l’idéal, utilisez un modèle Zero Trust pour la segmentation.
Surveiller le trafic du réseau pour savoir s’il y a des anomalies dans les segments pertinents est également indispensable pour pouvoir tracer les dispositifs compromis utilisés pour mener des attaques DDoS ou pour le minage de cryptomonnaies.
Pour finir, afin de détecter le plus tôt possible les attaques sophistiquées qui utilisent les dispositifs IoT comme entrée pour s’introduire dans le réseau et attaquer les autres systèmes, utilisez une solution de type EDR.