#IoT: Les objets connectés détournés par les cybercriminels

Les objets connectés sont porteurs de belles promesses pour améliorer notre monde moderne (Les objets connectés sont l’avenir du 21 ème siècle). Ces promesses sont réalistes mais dans l’euphorie qui entoure les innovations portées par les objets connectés il faudrait voir à ne pas oublier les questions essentielles de sécurité. La récente attaque DDoS (déni de service) subie par l’hébergeur OVH nous alerte sur la sécurité des objets connectés.

cyber-iot

Les objets connectés utilisés comme arme par les cybercriminels. Le 20 septembre le journaliste Brian Krebbs a brusquement pris conscience du rôle que les objets connectés pouvaient jouer dans une attaque DDoS (Distributed Denial of Service ) contre son site hébergé chez un fournisseur externe. C’était ensuite au tour de l’hébergeur OVH de subir le même type d’attaque d’une ampleur sans précédent. Pour faire simple, les pirates utilisent des objets connectés infectés formant un « botnet » ( un réseau de machines utilisées à des fins malveillantes à l’insu de leurs propriétaires) pour créer une surcharge d’activité telle que le site ne réussit à la supporter et se bloque. Ce type d’attaque n’est pas nouveau en soit mais jusqu’à maintenant on infectait des serveurs en nombre pour provoquer cet afflux d’accès sur le site ciblé. Ce qui est nouveau aujourd’hui c’est l’utilisation ddos-ovhd’objets connectés pour le faire. Dans le cas d’OVH ce sont des caméras de vidéosurveillance qui ont été impliquées. D’autres attaques ont montré la vulnérabilité potentielle de véhicules connectés dont on pourrait prendre le contrôle à distance. Quand on sait que déjà dans le domaine industriel une multitude de capteurs sont utilisés pour contrôler et mesurer les équipements on a besoin d’être rassuré. Et ce ne sont pas les nouvelles séries américaines comme « CSI : Cyber » ou « Mr Robot » qui vont nous aider à mieux dormir.

Dès qu’un objet est connecté à Internet on doit s’inquiéter de la sécurité. Dans un billet daté du 23 septembre, quasiment simultanément avec l’attaque du site du journaliste, le spécialiste de la sécurité Symantec alertait sur les risques liés aux objets connectés. Ce n’est pas réellement le propriétaire de l’objet qui est visé, mais l’objet est utilisé à des fins d’attaques cybercriminelles. A partir du moment ou un équipement est connecté à Internet, la question de la sécurité se pose, quel que soit sa taille et son usage personnel ou professionnel. Les risques sont multiples. On pense bien sûr aux vols de données collectées, à la prise de contrôle de l’objet lui-même (camera, voiture connectée ..) mais également à la diffusion de logiciels malveillants en servant d’un objet connecté comme point d’entrée et aux attaques massives de type DDoS pour créer via de multiples objets infectés une activité massive sur un site qui va exploser sous a charge.

Les objets connectés doivent être « secured by design ». Notre société est tellement dépendante d’internet que la cyber sécurité est un sujet qui préoccupe, ou qui devrait préoccuper, toutes les entreprises. Ce domaine évolue constamment pour s’adapter aux cybercriminels. On cloisonne les environnements avec de la micro segmentation pour éviter que les logiciels malveillants puissent se propager et l’intelligence artificielle commence à entrer en jeu pour déceler les comportements suspects. Toutes les mesures que les entreprises prennent pour une meilleure protection vont dans le bon sens mais cela ne doit pas masquer la racine du problème lié aux objets connectés : leur faible niveau de sécurité. Les explications ne doivent pas servir d’excuses pour agir. Beaucoup d’objets connectés sont dotés d’operating systems et de processeurs aux capacités limités qui ne permettent pas d’intégrer des fonctions de sécurité très sophistiquées. Bien souvent il n’existe pas de mise à jour des microcodes ou bien les propriétaires des objets ne les activent pas. C’est ainsi qu’on se retrouve avec des objets infectés sans que personne ne s’en rende compte.

La sécurité des objets connectés doit être envisagée dès la conception, le manque de standard et l’écosystème important qui rentre en jeu ne facilitent certes pas la tâche mais raison de plus de s’y atteler sans tarder pour ne pas faire capoter cette nouvelle révolution industrielle qu’on annonce avec les objets connectés.

2 réflexions sur “#IoT: Les objets connectés détournés par les cybercriminels

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s