Risques en cybersécurité de l’IoT - Panorama des principales menaces

Dans un environnement général où la cybersécurité est une composante essentielle des réseaux et services, les objets de l’IoT (Internet of Things, Internet des Objets) présentent aujourd’hui des caractéristiques spécifiques sources de faiblesses :

• la faible maturité en termes de sécurité, voire une absence de culture forte de sécurité, que l’on peut observer sur certaines technologies ou sur les défauts courants d’implémentation (tels qu’un mot de passe unique et trivial pour une série d’objets). En étudiant la sécurité de divers objets, force est de constater que l’on retrouve souvent des ports série ouverts, des interfaces radio sans protection, des noyaux obsolètes dans les firmwares, des clés secrètes en clair, etc. ;

• un positionnement des objets comme point d’entrée à Internet et aux systèmes d’information personnels (réseau local domestique) et professionnels (réseau interne des entreprises) qui, via la dissémination d’objets sur le terrain et leur accessibilité aussi bien locale qu’à distance, étend d’autant la surface d’attaque des réseaux et systèmes ;

• un déploiement massif d’objets construits sur un même socle, transformant toute vulnérabilité en une menace à grande échelle ;

• la génération massive de données personnelles à protéger strictement dans le cadre des droits des utilisateurs au respect de leur vie privée et à la maîtrise de leurs données ;

• une capacité à agir sur le monde réel en apportant de nouvelles motivations malveillantes : espionnage de domicile par caméra ou assistant vocal, systèmes industriels utilisés pour endommager une usine, mise en danger, voire atteinte, à l’intégrité de personnes physiques, etc.

Ces faiblesses, bien réelles dans les objets, peuvent être utilisées pour détourner les services IoT eux-mêmes : désorganiser une usine, espionner un domicile, ouvrir une porte, dévier une voiture ou arrêter un pacemaker… La liste est longue des exploits réels ou de laboratoire régulièrement relevés par les chercheurs en sécurité (cf. par exemple les formations sur le hacking d’objets IoT via des interfaces IP, radio et hardware à la conférence BlackHat ).

Mais paradoxalement, les objets sont plus souvent piratés pour s’introduire dans un système d’information, ou même juste pour leur simple capacité de calcul et leur bande passante, comme le montrent les réseaux d’objets infectés de la famille Mirai depuis 2016 . Des logiciels malveillants scannent Internet en permanence pour trouver des systèmes vulnérables (e.g. : non mis à jour) et ouverts (e.g. : possédant un mot de passe trivial), comme certaines caméras connectées. Ces systèmes sont alors infectés et enrôlés dans des botnets pour participer à des attaques de type déni de service massivement distribué, battant des records de bande passante, qui sont utilisés contre certaines infrastructures critiques de l’Internet.

Aujourd’hui tous les acteurs publics et privés, industriels et civils, ont bien perçu l’enjeu de la sécurité de l’IoT aussi bien pour son développement économique qu’au regard de son impact sociétal. Mais quelles sont les problématiques et menaces à prendre en compte ?