Les défis liés à la sécurité IoT sont un sujet très débattu, et pour cause. Dans cet article, nous ferons la lumière sur les raisons, les tendances et les attentes actuelles.
Quels sont les défis de sécurité IoT ?
Le plus grand signal d’alarme a peut-être été l’attaque du botnet Mirai. Les décodeurs compromis et les attaques coordonnées qui pourraient fermer GitHub, Twitter et Reddit ont très bien démontré le risque le plus important.
S’il existe une vulnérabilité sur un appareil, elle est présente et accessible sur tous les appareils déployés. Il ne s’agit plus d’un simple risque de sécurité.
La guerre entre la Russie et l’Ukraine l’a également mis en évidence. Les agences de renseignement ont tenté de pirater les caméras IP, qui constituaient des points faibles par lesquels l’ennemi pouvait être plus facilement espionné. N’oublions pas que ces appareils se trouvent non seulement dans nos maisons, mais également dans les bâtiments gouvernementaux et militaires ; ainsi que dans les infrastructures critiques. Vous l’aurez compris, la meilleure caméra de sécurité, sensée vous protéger, peut donc créer un brèche de sécurité.
Quel que soit le secteur, la plupart des entreprises numériques sont confrontées à des risques si les appareils IoT fonctionnent à l’intérieur des limites de leur réseau. Les vulnérabilités des appareils peuvent constituer des points d’entrée lors d’attaques contre des cibles de grande valeur.
À titre d’exemple, un casino a fait la une des journaux en 2017 et a été piraté via un aquarium intelligent. Malgré de gros investissements dans la sécurité IoT, ils ne pensaient pas que l’aquarium pouvait être le maillon faible. Depuis lors, de plus en plus de services de sécurité de l’information ont pris conscience des risques associés aux actifs IoT sur leur réseau. Ils ont augmenté leurs dépenses pour découvrir ces tentatives malveillantes et ces appareils à risque.
Sécurité IoT – Systèmes embarqués vs applications
La sécurité IoT des systèmes embarqués est une approche fondamentalement différente de celle des applications. Voici quelques facteurs clés.
- La différence initiale la plus significative réside peut-être dans le stockage et les ressources limités, qui imposent de nombreuses contraintes au code IoT. Bien que certains projets logiciels détiennent une part de marché relativement importante, comme Linux et FreeRTOS, le spectre de toutes les conceptions IoT est très hétérogène. Généralement, ces processus impliquent un code fermé spécifique au matériel, ce qui nuit souvent à la sécurité.
- Les appareils doivent résoudre l’ensemble du problème par eux-mêmes, souvent sans système d’exploitation à part entière. Le code nu est souvent sensible aux vecteurs d’attaque, où des problèmes simples tels qu’un pointeur nul déréférencé finissent par être exploitables en raison du manque d’environnement de protection de la mémoire ou d’autres fonctionnalités de sécurité généralement mises en place par le système d’exploitation.
- Il n’y a souvent aucun contrôle sur certains composants achetés, et les SDK associés sont livrés avec un exemple de code vulnérable sans aucune garantie. Parfois, le code vulnérable est distribué sous forme de code source où un audit tiers pourrait le détecter. Cependant, il arrive souvent que le SDK masque ces vulnérabilités sous la forme de modifications personnalisées des binaires système précompilés pour la plateforme.
- Le fait que les fabricants recherchent généralement l’élément le moins cher qui répond aux exigences ajoute à d’autres complications. Tant qu’une sécurité robuste ne fait pas partie des exigences strictes, les conceptions minimiseront les coûts au détriment des mesures de base telles qu’une cryptographie forte ou une séparation des privilèges.
- Les langages de programmation couramment utilisés dans le domaine, tels que C et C++, constituent un défi du point de vue du codage sécurisé. Les problèmes de sécurité de la mémoire restent les principales classes de vulnérabilité qui affectent ces conceptions.
- La difficulté des tests de sécurité est le dernier clou du cercueil. Les outils qui pourraient aider dans ce domaine font défaut, avec seulement quelques projets open source disponibles. À cela s’ajoute le fait qu’il manque plusieurs millions de professionnels de la sécurité sur le marché. Il est donc impossible de s’appuyer uniquement sur la supervision humaine.
Qui porte la responsabilité ? Opérateurs ou constructeurs ?
Certes, pour résoudre de nombreux problèmes, il faut recourir activement à des opérations appropriées, notamment des pare-feu, des XDR et des plateformes d’observabilité IoT. Cependant, même avec ces mesures en place, la vulnérabilité des appareils peut rester un risque, surtout s’il s’agit d’une attaque ciblée contre un actif de grande valeur au sein d’une organisation. Par conséquent, nous pensons qu’il est principalement de la responsabilité du fabricant de s’assurer que son produit répond aux attentes de base en matière de sécurité.
Heureusement, la situation s’est améliorée sur un aspect significatif. Si nous découvrons aujourd’hui une vulnérabilité dans un produit et la signalons, les entreprises ne la considèrent généralement pas comme une attaque de relations publiques mais plutôt comme une contribution bienvenue.
Pourquoi un type d’appareil a-t-il une meilleure posture de sécurité qu’un autre ?
Ce que je m’apprête à dire n’est peut-être pas surprenant : ces appareils présentaient un niveau de sécurité informatique plus élevé, là où il y avait une motivation commerciale et un réel potentiel d’attaques.
Le décodeur en tant qu’appareil en est un bon exemple. On pourrait penser qu’il entre dans la même catégorie qu’un routeur, surtout si l’on considère des appareils moins chers et de moindre qualité. Cependant, du point de vue de la sécurité IoT, j’ai constaté une différence significative.
Les décodeurs bon marché analysés disposaient de ressources matérielles dédiées et fonctionnaient avec un cryptage sérieux. Cela est principalement dû au fait que les créateurs de contenu ont conclu des contrats avec des opérateurs et des fournisseurs de télévision par câble prévoyant de lourdes sanctions en cas de vol ; car ils souhaitaient protéger leur propriété intellectuelle. En conséquence, les opérateurs ont soudainement eu tout intérêt à garantir que le contenu parvienne aux consommateurs en toute sécurité.
Dans le tiers monde, il s’agit d’un business particulièrement important. Le piratage est devenu une industrie à part entière, certains groupes malveillants menant même des opérations de piraterie par satellite. Une pression importante s’est donc exercée sur les opérateurs, ce qui a conduit au développement d’appareils plus sécurisés.
Des processus similaires ont également sécurisé les consoles de jeux.
Contrairement à cela, les routeurs et les caméras IP sont beaucoup moins sécurisés. D’après nos recherches, des vulnérabilités graves existent dans 8 cas sur 10 en moyenne. Et en général, nous avons constaté que les appareils les plus sérieux et les plus coûteux ont tendance à être plus sécurisés.
Sécurité IoT – Réglementation et sensibilisation des clients
Nous arrivons maintenant à un problème crucial, à savoir la sensibilisation des clients. En termes simples, les menaces n’ont pas encore atteint un niveau tel qu’elles obligent les fabricants à optimiser la sécurité, car les consommateurs ne pénalisent pas les appareils les plus faibles. Bien sûr, la question se pose de savoir comment les consommateurs pourraient évaluer cela, mais des problèmes plus importants sont en jeu.
Certains n’ont même pas encore compris le problème, qui est le danger lui-même.
Il y avait un article sur BugProve intitulé quelque chose comme : « Nous protégeons votre réfrigérateur intelligent contre les attaques ». L’un des principaux commentaires était : « Au secours, que va-t-il m’arriver s’ils piratent et volent mes nuggets de poulet ? »
C’était censé être une blague sarcastique, et j’ai aussi trouvé ça drôle. Cependant, je pense que cela éclaire également la question de savoir si le consommateur moyen est psychologiquement désavantagé lorsqu’il met en corrélation les préoccupations en matière de confidentialité et de sécurité avec des objets ménagers autrement inoffensifs. On pourrait même appeler cela « l’erreur de l’aquarium », comme dans le cas de l’incident du casino.
Pour nous, experts en sécurité, il est facile de voir immédiatement les défis de sécurité des appareils IoT partout où nous voyons des microcontrôleurs et autres matériels informatiques connectés aux réseaux IP, même si ceux-ci sont cachés dans des objets familiers. Cependant, cela n’a pas été le cas pour la population au sens large. .
Le rôle des réglementations
Comme l’illustre l’exemple précédent du casino, le risque ne dépend pas de la fonction originale de l’appareil compromis ; le problème est que n’importe quel appareil IoT peut servir de point d’entrée dans le réseau du client, et un attaquant peut y obtenir des ressources supplémentaires. Le code malveillant placé de cette manière reste souvent caché à l’utilisateur mais peut néanmoins présenter un risque continu.
C’est quelque chose que les réglementations à venir visent à changer. Le RGPD n’a peut-être pas été le meilleur moyen d’accroître la sécurité des données, mais il a au moins permis à tout le monde d’en prendre conscience dans une certaine mesure.
Plus remarquable encore est l’approche américaine du Cyber Trust Mark. Les produits porteront un logo avec le bouclier, signalant aux consommateurs que le produit répond à au moins une certaine norme. Il y aura également un code QR que les consommateurs pourront utiliser plus tard pour vérifier si le produit répond toujours à ces normes.
Je pense que certains consommateurs y prêteront attention, mais il y aura toujours ceux qui rechercheront l’option la moins chère dans les rayons. C’est là qu’intervient la nécessité d’élever le niveau de sécurité global de l’ensemble du secteur. Même ceux qui optent pour la solution la moins chère devraient bénéficier d’une protection de base – c’est la clé de la protection de notre société.
C’est un incontournable si l’on veut continuer à utiliser de plus en plus d’appareils embarqués.
