Comment appréhender la sécurité des objets connectés
On se rappelle quand 2015, c’est près de 1,4 million de véhicule de la marque Jeep qui ont été retiré du marché.
La cause était dû à la découverte d’une faille de sécurité qui aurait pu permettre à des pirates informatiques de prendre le contrôle du véhicule à distance et c’est que le système de freinage et de direction.
Cet article va aussi vous intéresser : Tesla : il est possible de voler la voiture électrique par un simple piratage
Durant l’année 2020, NCC Group a effectué étude approfondie portant sur des modèles de sonnette sans fil, des objets connectés produit par la filiale d’Amazon Ring, Vivint et Remo. L’étude a permis de mettre en évidence plusieurs failles de sécurité qui pourrait permettre à des cybercriminels de pouvoir infiltré le réseau de la maison et d’espionner les habitants du domicile ciblés. La conséquence de cette découverte a été plusieurs dépôts de plainte contre le géant américain Amazon, pour manque de protection contre le piratage informatique.
Pourtant, le marché des objets connectés croît de plus en plus. Que ce soit dans les services habituels, dans les hôpitaux ou dans les administrations publiques, il n’est pas rare de trouver un objet dans l’utilisation lèvres purement de l’Internet des objets. Presque tout devient connecté dans notre quotidien et cela est une réalité bien évidente.
L’ensemble des objets connectés constituent un groupe appelé « internet des objets », IoT en pour « Internet of Things ». S’ils continuent d’exploser dans les habitudes de consommation des individus, le pirate informatique le considère aujourd’hui littéralement comme un air de jeux. Selon une analyse récente, entre 2015 et 2018, 20 % d’organisation en été touchée par une attaque informatique impliquant des dispositifs objets connectés. Il devient clair que la protection des objets connectés est clairement une nécessité. Les organisations et les entreprises le savent.
« Se mettre à la place d’un attaquant permet de mieux comprendre le fonctionnement des appareils IoT, en les détournant de leur fonctionnalité première. Ceci permet aussi d’anticiper les actions des attaquants et d’utiliser les mêmes outils et techniques, pour évaluer la sécurité des systèmes IoT et pour trouver de nouvelles vulnérabilités, des failles qui permettent de s’introduire dans le système. Par exemple, une des failles les plus simples d’exploitation pour un cybercriminel est de trouver les identifiants de connexion par une attaque dite de « force brute » afin d’avoir accès a l’appareil. De plus, les utilisateurs ne modifient pas forcément les identifiants définis par défaut lors de la première utilisation. Il suffit alors pour un attaquant de retrouver les identifiants définis par le constructeur (la plupart du temps le même pour chaque type d’appareil) et de se connecter à un appareil afin d’avoir accès au réseau complet. », explique Émilie Bout Doctorante, à l’Inria et Valeria Loscri, Chercheur associé, à l’Inria.
En 2016, le célèbre en botnet Mirai à exploiter cette faille de sécurité. En effet les pirates informatiques derrière sur réseau de zombies ont utilisé un ensemble de dispositifs IoT vulnérables par usage des identifiants et le mot de passe par défaut. L’attaque a été à grande échelle touchant de plein fouet plusieurs entreprises impliquée dans le trafic Web tel que Dyn et OVH ainsi que Airbnb et Twitter.
« Cette faille a aussi permis à des attaquants de s’introduire dans le réseau d’un casino, afin d’avoir accès aux données des clients (identité, numéro de compte, etc.) par le biais d’un thermomètre déployé dans un aquarium. Les failles liées aux spécificités des appareils connectés sont de plus en plus exploitées. Ces appareils fonctionnent sur batterie et sont pourvus de ressources mémoires limitées. Pour saturer le fonctionnement de ces éléments (batterie, mémoire), un attaquant peut envoyer de nombreuses requêtes à l’appareil et ainsi provoquer son arrêt – on parle alors d’attaque par « déni de service » (« DDoS »). L’un des objectifs est d’identifier les « zones à risques » les plus évidentes dans le réseau d’objet connecté, afin de créer des solutions le plus rapidement possible… avant qu’une personne malveillante ne la trouve. On peut considérer cela comme un jeu où deux équipes s’affrontent pendant un temps imparti pour atteindre le même but : trouver la faille – certains la répareront, d’autres l’exploiteront. », expliquent nos chercheuses.
Grâce à cette méthode plusieurs dysfonctionnements a été découvertes. Cela avant que les conséquences irrémédiables ne soient observées. C’est d’ailleurs le cas du modèle vulnérable de la jeep Cherokee abordé plus haut. Cela a aussi permis de pouvoir retirer du marché près de 500 000 pacemakers en Ventes.
Accédez maintenant à un nombre illimité de mot de passe :