Le monde merveilleux de l’IoT peut vite devenir un cauchemar

De retour de notre mission d’étude aux USA sur le sujet de l’Internet des objets (IoT) et de l’IA, tous les acteurs ont insisté, Cisco et Microsoft en tête, sur l’importance de la sécurité des réseaux, des systèmes et des accès. C’est effectivement un point clé pour que le monde merveilleux des objets connectés ne se transforme pas demain en notre pire cauchemar…

Capture d_écran 2018-10-19 à 18.30.43

Si connecter de multiples objets, orchestrer leur fonctionnement est sans aucun doute une avancée technologique passionnante les dangers sont réels si tout ne se fait pas de façon sécurisé, si la moindre brèche dans un système est exploitée.

l’IoT ne présente actuellement que peu d’éléments de standardisation, tout au moins partagés par tous. Le foisonnement des solutions, des protocoles, des tentatives de chaque acteur pour « standardiser » son approche rend ce terrain de jeu très interessant. On se retrouve un peu comme au temps du début de la micro-informatique où les éléments assemblés communiquaient difficilement les uns avec les autres, dans des OS à petites diffusion, des protocoles d’échange interne non standardisé ne serait-ce que pour faire fonctionner un écran avec l’unité centrale ! Ceci rendait la chose amusante pour le bidouilleur (on ne disait pas Geek encore à cette époque :)). L’analogie peut également se faire entre la micro informatique de l’époque qui était à l’informatique ce que la domotique est à l’IoT aujourd’hui.

Il est normal que comme pour toute technologie naissante, il existe des problèmes de jeunesse qui font que tout est loin d’être parfait, qu’il faille trouver des passerelles, des contournements, etc. Seulement, voilà, ce n’est plus un jeu, les choses ont changé : tout ceci est connecté. Une expérimentation dans un coin avec un objet pas suffisamment sécurisé peut avoir des conséquences très importantes.

Les exemples sont malheureusement assez nombreux et font froid dans le dos.

Souvenez-vous l’incident survenu l’année dernière lorsque l’organisation fédérale de contrôle des appareils médicaux au États Unis  (la FDA) a annoncé qu’elle avait découvert une grave vulnérabilité dans les stimulateurs cardiaques fabriqués par St. Jude Medical.  Car si les appareils IoT ont un potentiel énorme dans le domaine médical (il suffit de voir l’engagement d’Apple avec son Apple Watch pour en comprendre l’enjeu) la sécurité est vraiment un point clé. Dans ce cas, il s’agissait d’une vulnérabilité de l’émetteur/récepteur qui était utilisé par les stimulateurs cardiaques pour communiquer avec des services externes (les médecins). Une fois que les assaillants ont eu accès à l’émetteur/récepteur du stimulateur cardiaque, ils ont pu en modifier le fonctionnement, épuiser la pile et même administrer des chocs potentiellement fatals.

Capture d_écran 2018-10-19 à 18.34.01

Mais l’attaque n’est pas forcément directe, elle vise parfois à cibler uniquement le maillon faible d’un réseau. Ainsi dans les cas de l’attaque par déni de service qu’on subit CNN, Twitter et Netflix en octobre 2016, le botnet (prénommé Mirai) ayant commis ce forfait identifiait des objets connectés vulnérables (telle que des appareils faisant tourner un petit Linux pas mis à jour ou ayant gardé le mot de passe root par défaut), s’installait sur ces derniers pour attaquer les sites ciblés…

Même histoire avec le moniteur cardiaque pour bébé Owlet, les pirates informatiques ne s’intéressaient pas à la fréquence cardiaque du bébé, mais à la faiblesse en matière de sécurité de l’équipement pour s’en servir de relais et attaquer d’autres appareils de la maison…

On se souvient également il y a plus d’un an de l’histoire des caméras de surveillance  SecureView de la marque TrendNet, qui permettaient à quiconque de trouver leur l’adresse IP et le port associé (avec un mot de passe par défaut) et donnait ainsi l’accès à distance à la vidéo et à l’audio du domicile aux pirates.

Il existe malheureusement beaucoup d’autres exemples qui ne font pas toujours la une de la presse.  Raison de plus de considérer tous les éléments de la chaine composant l’IoT. Nous reviendrons sur ceci (et bien d’autres choses) lors du prochain Briefing Calipia. N’hésitez pas à nous y rejoindre.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.