Protection contre les chevaux de Troie
Tous les routeurs, imprimantes ou appareils intelligents ne sont pas sûrs, une grande partie met en danger l'ensemble de l'informatique. Les analystes de micrologiciels IoT de l'IoT Inspector ont quelques conseils utiles pour parvenir à une protection adéquate de l'infrastructure IoT.
Selon des sondages effectués par la société de conseil en informatique IoT-Inspector de Bad Homburg, 50 % des appareils présentent souvent des faiblesses flagrantes qui permettraient à un pirate de s'attaquer à l'ensemble de l'infrastructure du système. La prudence est particulièrement de mise lors de l'achat d'imprimantes, de routeurs, de caméras de sécurité et d'options d'éclairage. Les pirates connaissent les points faibles et n'hésitent pas à les exploiter. Selon IoT-Inspector, chaque appareil contient en moyenne des composants logiciels de plus de dix fabricants différents, appelés producteurs OEM. Dans une liste de contrôle détaillée, la société de conseil en informatique conseille les astuces de sécurité suivantes :
- Tout d'abord, il convient de procéder à une évaluation des besoins de protection et à une analyse des menaces afin de définir des lignes directrices claires pour la sécurité de l'IdO.
- Définition d'exigences techniques concrètes en matière de sécurité pour l'acquisition. Celles-ci sont consignées dans un cahier des charges de sécurité et doivent être mises en œuvre par le fabricant. Les directives internationales, telles que ISA/IEC 62443 ou ETSI 303 645, fournissent des orientations à cet égard.
- Contrôle du fabricant en ce qui concerne la fiabilité et la diligence dans le cadre du développement de matériel et de logiciels. Des modèles de maturité établis tels que OWASP SAMM ou BSIMM. Le fabricant doit démontrer qu'il met en œuvre le niveau de maturité requis - en fonction du besoin de protection de l'appareil - pour toutes les activités de développement.
- Réalisation de tests de sécurité automatisés du firmware de l'appareil, à la fois lors de la réception et à intervalles fixes, afin de détecter d'éventuelles nouvelles vulnérabilités introduites par les mises à jour du firmware.
- Il est recommandé de procéder à des audits Whitebox basés sur les Guides de test OWASP IoT.
Exiger du fabricant l'assurance écrite que toutes les exigences de sécurité définies sont remplies. - Examen de la documentation de sécurité créée dans le cadre du développement du logiciel (par ex. documentation de l'architecture de sécurité, analyses des flux de données, résultats des tests de sécurité internes du fabricant).
- Si un appareil IoT a accès à des informations confidentielles ou est utilisé dans des domaines particulièrement sensibles, il convient de procéder à une révision complète du code source de sécurité du micrologiciel ainsi qu'à un contrôle de sécurité physique de l'appareil IoT lui-même, en se concentrant sur les portes dérobées cachées dans le logiciel et le matériel.
Pour les personnes intéressées, IoT Inspector propose un Livre blanc à télécharger.
Source : IoT Inspector GmbH
