L'appareil IoT en otage

Malheureusement, ces dernières années ont été marquées par des étapes peu glorieuses dans l'histoire du développement de l'Internet des objets (IoT) : fin 2016, une première cyberattaque de grande envergure a réussi sous la forme du malware Mirai, qui a utilisé des centaines de milliers d'appareils IoT tels que des routeurs, des caméras, des imprimantes et des téléviseurs intelligents pour créer un botnet. Celui-ci a provoqué des attaques DDoS dans le monde entier, notamment contre des entreprises comme Twitter, Amazon ou Deutsche Telekom. L'ampleur des failles de sécurité dans l'IdO a également été démontrée lors de la Def Con Hacking Conference à Las Vegas, où des chercheurs en sécurité ont montré comment un thermostat compatible avec l'IdO pouvait être piraté et bloqué par une attaque ciblée de ransomware.

Il est tout d'abord important de faire la distinction entre les ransomwares traditionnels, qui visent généralement les PC et les serveurs, et les attaques sur les appareils IoT. Les ransomwares classiques infectent l'ordinateur cible et chiffrent les données qu'il contient afin d'extorquer ensuite une rançon pour leur décryptage. Il est certes possible de restaurer les données concernées par une sauvegarde, mais en raison de sauvegardes insuffisantes, certaines victimes se voient contraintes de céder à la demande de rançon. Cette méthode reste donc une affaire rentable pour les pirates, comme l'ont montré de manière impressionnante les vagues massives de ransomware WannaCry et Petya. Avec le faible niveau de sécurité des appareils IoT, il faut donc s'attendre dans les années à venir à des attaques de ransomware adaptées à ces appareils.

Objectif du ransomware IoT : prendre l'appareil en otage

Le vol de données ne vaut pas la peine pour les appareils IoT. En général, ils ne contiennent que peu ou pas de données sensibles. La stratégie des pirates consiste donc à bloquer l'accès de l'utilisateur à l'appareil et à prendre le terminal en otage.

A première vue, cela peut sembler être plutôt un désagrément. Pourtant, même un exemple relativement anodin comme le piratage du système informatique d'un hôtel quatre étoiles en Carinthie, qui a fait les gros titres en 2017, montre les conséquences importantes que peut avoir une telle attaque : Des criminels ont manipulé le système de fermeture des chambres, qui n'étaient plus accessibles aux clients. Trois fois de suite, les agresseurs ont réussi à mener cette attaque en exigeant une rançon. Il en va de même pour le piratage du thermostat bloqué par Def Con : Si l'on transpose cet exemple aux thermostats contrôlant les groupes frigorifiques d'un entrepôt alimentaire ou à un climatiseur de centre de données, la nouvelle menace des ransomwares IoT devient évidente.

L'historique douteux de la sécurité de l'Internet des objets

Malheureusement, un grand nombre de dispositifs IdO actuellement en service sont extrêmement vulnérables aux attaques de ransomware IdO, car dans le sillage de la vague de popularité de l'IdO, de nombreux fabricants ont conçu et vendu des millions de dispositifs IdO aussi rapidement que possible au cours des dernières années, en négligeant la sécurité des dispositifs. Par conséquent, la plupart des appareils IoT disposent aujourd'hui d'autorisations par défaut, utilisent des configurations et des protocoles non sécurisés et sont notoirement difficiles à mettre à jour, ce qui les rend extrêmement vulnérables aux tentatives de compromission et en fait une cible lucrative pour les cybercriminels.

Pour compliquer encore les choses, l'apparition de piratages de protocole de bas niveau tels que Krack (Key Reinstallation Attack) offre aux pirates de nouvelles possibilités de contourner l'infrastructure IdO et de manipuler les appareils en y injectant un code différent. Cela a des conséquences particulièrement graves lorsque les appareils doivent synchroniser ou recevoir des commandes de contrôle d'une application cloud.

Trois points pour évaluer la sécurité des appareils IoT

Pour pouvoir garantir des processus opérationnels sûrs, il est indispensable, lors de l'utilisation de dispositifs IdO, de procéder à une évaluation complète de la sécurité des appareils sous différents angles. L'évaluation devrait toujours couvrir les trois domaines suivants :

Matériel informatique : La sécurité physique devrait toujours jouer un rôle important dans l'évaluation d'un nouveau dispositif. Les commutateurs physiques permettent de rendre l'appareil inviolable en s'assurant que les composants individuels de l'appareil ne peuvent pas être accédés et décodés sans autorisation. Par exemple, un bouton de coupure du son peut être utilisé pour désactiver les microphones et les récepteurs audio de tous les appareils.

Logiciel : Il en va de même pour les appareils IoT : le logiciel doit toujours être à jour. Lors du choix d'un fabricant d'appareils, il faut donc veiller à ce que celui-ci actualise et corrige régulièrement ses logiciels.

Réseau : L'échange de données entre les appareils IoT, les solutions de gestion dorsale ou de stockage devrait se faire exclusivement via des protocoles web sécurisés tels que HTTPS et l'accès devrait se faire exclusivement via des méthodes d'authentification à plusieurs niveaux. En outre, il faut veiller à ce que toutes les informations d'identification standard fournies avec l'appareil soient immédiatement modifiées en chaînes de caractères alphanumériques forts.

La mise en œuvre de ces principes de sécurité de base contribue largement à se défendre contre bon nombre des menaces émergentes, telles que le nouveau type d'attaques par ransomware de l'IdO. Toutefois, si l'on veut que le monde de l'IdO devienne vraiment sûr, il est temps de le traiter comme n'importe quel autre système informatique et de s'assurer que sa protection est aussi robuste, efficace et à l'épreuve du temps.

Texte : Christoph M. Kumpa, directeur DACH & EE chez Gardien numérique