Le monde, et les entreprises plus particulièrement, sont en pleine transformation numérique, comme le prouve l’incroyable quantité d’objets et de terminaux connectés, qui façonnent de plus en plus notre quotidien et notre vie économique. Et cette tendance n’est pas prête de décliner. Nous devons maintenant veiller à ce que les risques liés à ces objets soient limités au strict minimum.
Jusqu’à présent, l’informatique servait principalement à assurer des processus plus rapides et une meilleure efficacité dans les entreprises. Dans le cadre de la transformation numérique, les processus vont se modifier radicalement pour atteindre une nouvelle efficacité. L’Internet des Objets (IoT) permet aux entreprises de modifier tout un ensemble de chaînes de valeur ajoutée, en vendant, par exemple, à d’autres entreprises non plus des systèmes de climatisation, des véhicules et des réfrigérateurs mais bien de l’air, des kilomètres et des températures grâce à de savants capteurs. Ce n’est pas le réfrigérateur professionnel qui sera vendu, mais une température garantie sur la durée. Les capteurs pourront monitorer cette dernière, si elle augmente et, en conséquence, le fabricant ne pourra pas facturer son prix habituel.
Ce développement s’inscrit dans la logique de l’IoT, mais il serait dangereux de ne pas prendre de précautions en matière de sécurité. Un test du chercheur en sécurité Robert Graham a dernièrement démontré que, sans mesure de protection supplémentaire, une caméra de surveillance ordinaire était infectée en 98 secondes après sa connexion sur Internet. La facilité de ces attaques tient au fait que chaque appareil dispose d’un serveur Web accessible depuis n’importe où. La plupart des combinaisons de systèmes d’exploitation et d’interfaces des contrôleurs industriels, elles aussi, proviennent d’une époque révolue et sont complexes, voire impossibles, à patcher ou à sécuriser. Si une organisation criminelle réussit à accéder à l’un de ces appareils - en raison de l’utilisation d’un mot de passe standard ou via une faille de sécurité - elle peut automatiser l’attaque, l’étendre à l’échelle mondiale grâce aux nombreux objets déployés par l’entreprise dans le monde et prendre le contrôle de ces appareils sur la durée.
Les cybercriminels peuvent ensuite utiliser l’appareil de trois manières différentes : soit ils s’en servent commeporte d’entrée dans le réseau de l’entreprise sur lequel se trouve l’objet piraté dans le but d’espionner ou voler des données soit ils l’emploient comme bot pour des attaques DDoS leur permettant de neutraliser des sites Web, de provoquer le bug de centres de données ou de mettre des infrastructures industrielles hors service. Enfin, les criminels peuvent modifier le comportement des appareils par exemple changer l’itinéraire d’un véhicule connecté.
Via les objets connectés, les pirates informatiques peuvent introduire les programmes malveillants dans un réseau. Jusqu’à présent, il leur fallait arriver à ce qu’un utilisateur ouvre les pièces jointes infectées ; cette étape intermédiaire contraignante du piratage est désormais inutile : une caméra de surveillance infectée, par exemple, peut suffire. Si l’appareil fait partie d’une infrastructure critique pour la sécurité, le piratage pourra causer d’importants dommages économiques voire même la mise en danger de vies humaines.
Même les grandes entreprises gèrent rarement les appareils IoT avec le même sérieux que celui qu’elles appliquent aux ordinateurs ou aux serveurs ; ces appareils sont à peine mis à jour, leur intégrité rarement contrôlée et le trafic de données entrant et sortant n’est pas limité par des règles de pare-feux pertinentes. Les appareils IoT sont les orphelins de l’informatique, et il en existe des centaines de millions.
Pour régler les problèmes liés à la sécurité de ces objets connectés, deux approches doivent être adoptées :
Une sécurisation des appareils dès la conception (“Security by Design”) qui comprend le chiffrement de données fixes et mobiles, l’authentification forte pour l’accès, des correctifs automatiques pour les failles de sécurité et des alertes en cas de comportement suspect.
Des mécanismes de sécurité en amont (“Security byArchitecture”) qui permettent de protéger l’objet connecté contre des accès illégitimes et des logiciels malveillants, tout en empêchant tout trafic indésirable. Cette tâche est généralement assumée par des parefeux adaptés à l’IoT.
D’un point de vue technique, la sécurité des objets est donc tout à fait réalisable. Mais alors d’où vient le problème ? Après avoir, pendant des années, vendu des réfrigérateurs pour des supermarchés, conçu des solutions de gestions de flottes automobiles ou des perceuses électriques dans le secteur industriel, les responsables, qui veulent maintenant adapter ces appareils à de nouveaux modèles commerciaux en les rendant compatibles aux contraintes d’Internet sous-estiment les exigences en matière de sécurité. Car au cours de leur carrière précédente, même les ingénieurs expérimentés n’avaient pas dû nécessairement se battre contre des attaques automatisées venant du monde entier.
Il s’agit également d’un défi pour les professionnels informatiques, habitués à des réseaux plus restreints, et qui doivent maintenant faire face à la mise en réseau de dizaines de milliers de machines ou de capteurs. Conséquences : de nombreuses solutions de “Security by Architecture” de l’IoT disponibles aujourd’hui se contentent de lancer une application de chiffrement. Mais cette protection superficielle n’est d’aucune utilité contre certaines attaques, comme l’utilisation abusive d’appareils connectés en tant que botnets.
L’industrie de la sécurité informatique n’est, globalement, pas préparée au défi de l’Internet des Objets. De nos jours, les entreprises ont besoin de pare-feu partout où se trouvent les utilisateurs, les données et les applications. Pour une connexion sûre et évolutive d’appareils IoT, il faut un matériel petit, léger, encastrable et intégrable ; les technologies aujourd’hui courantes sont dotées de fonctionnalités puissantes, mais elles n’ont pas le bon format ni la bonne architecture. Un pare-feu devant protéger des dizaines de milliers d’objets, positionnés sur des poteaux téléphoniques ou des éoliennes, nécessite une architecture s’y adaptant. Il est essentiel d’avoir une répartition intelligente des tâches entre celles directement réalisées sur le pare-feu matériel local et celles fournies par d’autres instances du parefeu : dans le Cloud, à un niveau agrégateur ou dans le centre de données, etc.
Pendant quelques années encore, l’Internet des objets va rappeler l’époque lointaine du Far West. Les cybercriminels chercheront constamment de nouvelles méthodes afin de monétiser les attaques IoT ; notamment via du chantage en chiffrant des données ou bien en mettant des machines ou des processus vitaux hors service.
Ils n’auront ainsi qu’à prendre le contrôle d’un nombre relativement restreint d’appareils afin d’encaisser pour des années une « assurance machine », un peu comme cela est le cas avec la mafia sicilienne et les commerçants. Les cyber-terroristes jetteront leur dévolu sur les appareils et les machines leur permettant de causer le plus grand dommage direct, par exemple dans de petites centrales électriques mal sécurisées.
À l’avenir, des appareils IoT implémentés individuellement devront être “Secure by design”. Dans le cas contraire, les pare-feux sont pour les entreprises la solution la plus simple pour protéger leurs objets. L’industrie de la sécurité informatique et ses clients se trouvent aujourd’hui confrontés et dépassés par des milliers de minuscules objets connectés, en raison notamment d’une architecture de pare-feux souvent bien trop lourde. Et il faudra vraisemblablement de nombreuses années pour démocratiser la sécurité des objets connectés et éliminer ce risque. Puisque le nombre d’objets connectés dépassera bientôt le nombre d’habitants de notre planète, on peut penser qu’ il y aura bientôt autant de parefeux que de smartphones.