Le monde connecté nous entoure et l’Internet des objets (IoT) véhicule de nombreuses promesses : personnalisation et automatisation accrues des services, utilisation optimisée des ressources, davantage de confort. Le nombre d’équipements connectés monte également en flèche, actuellement estimé entre 6 et 12 milliards. Ce chiffre peut vous sembler énorme mais si vous le mettez en doute, il vous suffit de vous connecter à votre routeur domestique pour constater la quantité d’appareils enregistrés… vous serez peut-être surpris d’y voir la présence de vos téléviseurs, amplificateurs et thermostats.
Les équipements IoT doivent être, par nature, faciles à déployer et à utiliser mais il ne faut pas oublier que ce ne sont en fait pas autre chose que des ordinateurs miniatures. Combien d’entre nous connecteraient un ordinateur directement à Internet sans avoir mis à jour son (vieux) système d’exploitation d’origine ni installé aucun correctif ni firewall ou autre dispositif de sécurité pour le protéger, en conservant le nom d’utilisateur et le mot de passe par défaut ? Pas beaucoup, or c’est pourtant ce qui se passe pour quantité d’objets de l’IoT.
L’évolution du paysage des menaces
2016 a mis plus en lumière le côté obscur du monde connecté, avec la prolifération des botnets et la transformation des services DDoS en cyberarmes, prenant appui sur les équipements IoT. Les cybercriminels ont en effet pris conscience que ces objets offrent une capacité considérable, n’attendant que d’être exploitée, et nous avons tous vu comment des milliers de caméras de surveillance et d’enregistreurs numériques relativement petits et inoffensifs peuvent être instrumentalisés pour le lancement d’attaques par déni de service distribué (DDoS) atteignant 500 Gbit/s voire plus, nuisant à la disponibilité des services Internet d’un certain nombre de marques bien connues.
De nombreux équipements IoT sont connectés à des segments non surveillés du réseau et possèdent une puissance informatique suffisante pour générer un volume non négligeable de trafic d’attaque. Les attaques contre ces appareils sont responsables d’une partie de l’accroissement de l’ampleur et de la fréquence de l’activité DDoS dont fait état l’étude annuelle sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report). En outre, les attaques DDoS ne sont que l’une des applications des équipements IoT piratés.
Une protection à différents niveaux
Le piratage d’équipements IoT fournit aux auteurs des attaques une nouvelle arme pour menacer la disponibilité de nos services Internet mais le moyen le plus efficace de protéger nos entreprises n’a pas changé. La plupart des entreprises sont aujourd’hui dépendantes des données et des applications qu’elles utilisent via Internet et dont l’indisponibilité peut se révéler très coûteuse. Pour contrer la menace DDoS actuelle, les entreprises comme les pouvoirs publics doivent mettre en œuvre une stratégie de protection anti-DDoS à plusieurs niveaux.
Une défense à plusieurs niveaux incorpore à la fois une composante sur site et dans le cloud ou chez le FAI. La composante sur site permet aux entreprises de détecter et de neutraliser les attaques immédiatement, avant qu’elles n’aient un impact sur les services. Cependant, la solution sur site ne peut faire face aux attaques de grande ampleur, de plus en plus répandues et capables de saturer la connexion Internet, et c’est là où les services hébergés dans le cloud ou chez le FAI entrent en jeu pour bloquer ces attaques massives. La bonne nouvelle est que les entreprises sont de plus en plus nombreuses à adopter ce modèle de défense à plusieurs niveaux : c’est le cas de 30 % d’entre elles selon l’enquête WISR en 2016, contre 23 % en 2015.
La mise en place des défenses appropriées demande des investissements, alors que de nombreuses priorités se disputent les budgets informatiques et de sécurité dans les entreprises. Or, compte tenu de la dépendance de la plupart d’entre elles à leur connexion Internet pour les interactions avec leurs clients, partenaires et fournisseurs, ce type de protection est indispensable. L’intégration des menaces pour la disponibilité dans les processus d’évaluation des risques financiers et informatiques peut contribuer à quantifier l’impact potentiel d’une attaque et donc à prioriser les investissements. L’étude WISR révèle qu’environ deux tiers des entreprises suivent aujourd’hui cette approche.
Un problème plus vaste
Le tandem DDoS-IoT va sans aucun doute continuer à faire les gros titres en 2017, à mesure que des attaques de plus en plus intenses poseront des problèmes aux opérateurs comme aux entreprises. Cependant, les attaques DDoS ne représentent que l’un des moyens d’instrumentaliser les équipements IoT. Nous observons d’ores et déjà l’utilisation d’équipements IoT piratés comme proxies afin de masquer la véritable source du trafic. En outre, si vous pensez que les risques de l’IoT se limitent aux appareils connectés à Internet, détrompez-vous. Les malwares Windows scrutant les réseaux locaux à la recherche d’équipements IoT à infecter sont déjà une réalité, permettant aux appareils piratés de cibler d’autres ressources à l’intérieur ou l’extérieur des réseaux d’entreprise.
Le monde connecté offre un formidable potentiel, pour le meilleur et pour le pire. Les équipements IoT peuvent être exploités pour amplifier les menaces existantes et en créer de nouvelles. Le renforcement de la protection des équipements IoT et la prévention de leur piratage sont des objectifs essentiels pour le secteur de la sécurité mais, tant qu’ils ne seront pas atteints (ce qui risque de prendre un certain temps), chacun doit se protéger contre les menaces dont nous connaissons l’existence, au premier rang desquelles les attaques DDoS sont en progression.
___________
Eric Michonnet est Directeur Régional Europe du Sud, Europe centrale et Afrique du Nord Arbor Networks