Des objets connectés au détriment de la sécurité ?

Évaluer cet élément
(0 Votes)

Selon l'Idate, 15 milliards d'objets connectés sont actuellement en circulation dans le monde. D’ici 2020, ce volume pourrait grimper jusqu’à 80 milliards de machines. Smartphones, montres ou encore perfusions, thermomètres… les équipements connectés passent la porte des entreprises, des hôpitaux et de nos foyers. Pourtant, bien souvent dès le stade de la conception, la sécurisation de ces objets est précaire. Du pain béni pour des hackers qui multiplient avec aisance les attaques s’appuyant sur ces faiblesses1.


L’explosion des objets connectés

Dans un monde de plus en plus connecté, l’IoT (« Internet of Things ») gagne chaque année du terrain. Les objets connectés n’ont jamais été si nombreux et envahissent notre quotidien (réfrigérateur, poubelle, équipements liés de près ou de loin à la domotique...). Exemple d’actualité : on dénombrait déjà en décembre de l’année dernière 25 millions d’assistants vocaux, stars du dernier Noël.

La multiplication de ces objets connectés témoigne de nombreux progrès technologiques en termes de miniaturisation, de débit, ou encore de communication réseau sans fil. Les industriels sont aujourd’hui capables de concevoir des produits high tech de plus en plus petits, de plus en plus performants et de moins en moins chers.

Des failles présentes dès la conception

Ces objets connectés dernier cri ne sont pas exempts de défauts, et quelques-uns d’entre eux ne respectent pas un certain nombre de concepts fondamentaux de sécurité, notamment car les industriels qui les fabriquent sont parfois des acteurs totalement étrangers au monde de la cybersécurité. Peu sensibilisés aux conséquences des cybermenaces, ils adoptent alors une approche orientée business et marketing, si bien que les produits développés souffrent de temps à autre dès leur conception d’un manque de sécurisation non négligeable.

Les vulnérabilités utilisées par les hackers pour compromettre ces machines sont nombreuses, et peuvent être de différents types : configuration déployée (systèmes d’exploitation configurés avec des paramètres par défaut, fragilité des mots de passe…), faiblesses identifiées dans le logiciel embarqué, etc. Elles peuvent être éliminées en partie par un travail sérieux de configuration et de mise à jour, mais est-ce toujours facile à appliquer – ou même simplement appliqué - sur le terrain ?

Une sécurisation difficile à assurer

Côté administrateur, en entreprise, la sécurisation d’un objet connecté peut rapidement virer au casse-tête : chaque catégorie nécessite des droits d’accès au réseau différents (simples équipements de commodité, équipements de sécurité physique, matériel personnel des employés (téléphones mobiles, tablettes…), postes des utilisateurs), utilise un système d’exploitation particulier avec ses propres contraintes et vulnérabilités, et une fraction significative de ces équipements est d’ordinaire gérée par des équipes différentes (climatisation par exemple), ce qui rend la simple constitution d’un inventaire exhaustif assez complexe.

Le fait que ce sujet épineux vienne s’ajouter à leur millefeuille cybersécuritaire déjà bien rempli (sécurisation des applications métier, protection vis-à-vis de l’extérieur…) n’arrange pas les choses, et il n’est pas rare que ces appareils soient laissés à l’abandon sur le réseau d’entreprise.

Tantôt mal conçus en amont, pas toujours évident à recenser et à classifier, difficilement sécurisables, les objets connectés s’invitent donc comme les carreaux brisés d’une porte d’entrée à destination de hackers qui ont des intentions variées : mafieuses, industrielles, idéologiques, ou encore pécuniaires. En 2018, c’est le thermomètre connecté d’un aquarium qui a notamment permis à des hackers de dérober toute la base de données d’un casino.

Sécurité « by design »
?

Dans ce contexte, comment sécuriser ces objets ? Aucun individu ne pare d’instinct son assistant vocal de solutions de sécurité complémentaires. Disons-le, la cybersécurité de l’IoT est dépendante d’une part de la gestion des administrateurs (en entreprise, des solutions qui aident à travailler en « bonne entente » avec les équipements IoT existent déjà : contrôle d’accès au réseau, analyses comportementales...), mais également des efforts réalisés par les fabricants dès le stade de l’idéation et de la conception. Une fraction de ces derniers semble encore réfractaire à investir des sommes conséquentes (qui viendraient alourdir la note du consommateur final) pour durcir les systèmes d’exploitation de petits objets construits à bas coûts.

Cependant, plus les scandales de cyberattaques les toucheront, et plus ces derniers seront marquants – imaginons le cas d’une cyberattaque ciblant les perfusions connectées d’une clinique privée, et entraînant des surdosages léthaux – plus les constructeurs élèveront naturellement le niveau de sécurité de leurs objets IoT.

Avec la prolifération des objets connectés et la persistance de leurs vulnérabilités d’usage, le piratage a de beaux jours devant lui… À moins qu’une prise de conscience partagée des entreprises et des individus ne permette à terme de renforcer sensiblement le niveau de sécurité de ces équipements.

Par Jean-Marc Muselli, Regional Services Director Southern Europe chez Exclusive Networks

1 Exemple représentatif : le malware Mirai

Lu 66 fois

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

   je m inscris test

Vient de paraître notre édition de Novembre 2019 de GPO Magazine en version Print - Acheter dès maintenant votre exemplaire papier. Et pour acheter la version numérique cliquer ici.

 

MAG DIGITAL Lire EXTRAIT GPO 104-300-250 pix.jpg

Découvrez notre édition spéciale Transformation Digitale en entreprises.

MAG DIGITAL Lire-extrait HS 2019-09 Transfo digitale-300-250 pix.jpg

 

Connexion

Devenir membre de GPOMag.fr vous permettra de bénéficier de nombreux avantages réservés uniquement aux membres : Recevoir l'édition digitale mensuelle, Feuilleter les cahiers thématiques et les télécharger gratuitement, Feuilleter gratuitement les derniers numéros de l'année en cours, Télécharger le planning rédactionnel pour connaître les sujets de la Rédaction à venir.

 

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.