Le mois d’octobre 2017 marque la cinquième édition du mois européen de la cybersécurité. L’objectif de cette initiative de l’agence européenne pour la sécurité des réseaux et de l’information (Enisa) est de sensibiliser à la sécurité du numérique. En effet, avec la digitalisation grandissante de l’environnement dans lequel nous évoluons, des objets du quotidien – tels que les jouets, l’électroménager, les voitures ou encore les dispositifs médicaux – se sont enrichis de fonctions intelligentes les rendant plus attractifs et performants. Ces objets connectés (ou IoT – internet des objets), dont le but principal est de faciliter la vie de leurs utilisateurs, sont cependant autant de portes d’entrées pour les hackers s’ils ne sont pas protégés correctement.
La difficulté vient du fait que les objets connectés manquent de sécurisation dès leur conception et que le consommateur final n’a bien souvent pas conscience du risque encouru.
Les négligences au niveau de la sécurité des objets connectés sont en effet souvent dues à plusieurs facteurs : les fabricants subissent aujourd’hui de fortes pressions pour produire et mettre sur le marché aussi rapidement que possible des produits innovants à prix abordables. De plus, ils manquent parfois d’expérience quant aux cybermenaces. En effet, une entreprise produisant des grille-pains n’avait jamais eu besoin de penser à les protéger des pirates informatiques avant de les rendre intelligents ! En outre, il n’existe actuellement pas de norme à respecter, nationale ou internationale, concernant la sécurisation des objets connectés. Et si les entreprises peuvent créer leurs propres standards de production, la sécurité n’y est pas nécessairement une priorité. C’est pourquoi chaque jour des objets connectés enfreignant des principes de base de cyberprotection sont fabriqués et expédiés partout dans le monde.
Le moyen le plus simple pour pirater un objet connecté est d’utiliser ses identifiants par défaut. En effet, pour réduire les coûts, de nombreux fabricants utilisent les mêmes pour tous les appareils qu’ils produisent ; et les consommateurs finaux ne pensent pas à les changer ou ne réalisent tout simplement pas le danger induit. Et c’est d’ailleurs ce qu’il s’est passé fin 2016 avec le logiciel malveillant Mirai, qui a infecté des milliers d’appareils en utilisant les identifiants par défaut pour perpétrer des attaques DDoS massives, ou attaques par déni de service. Ces dernières consistent à envoyer, à l’aide de robots, un grand nombre de requêtes à un équipement – hébergeur, serveur, ou encore application web – afin de le saturer et de provoquer un blocage total du service. Une technique qui vise à affecter l’expérience de l’utilisateur final et dont les conséquences peuvent être graves.
Améliorer la sécurisation des appareils connectés est donc essentiel pour empêcher la compromission de données privées et pour parer aux attaques de grande ampleur. Il est en effet possible d’infecter l’ensemble d’un réseau de l’internet des objets en s’attaquant à un seul terminal. Pire encore, les cyber-attaquants pourraient aussi réguler les feux de signalisation, éteindre les lumières d’une ville entière, prendre le contrôle de véhicules ou encore arrêter des pacemakers. Les objets connectés se généralisent et sont des cibles de choix pour les hackers, raison pour laquelle il est indispensable d’optimiser leur sécurité.
Pour ce faire, des solutions simples peuvent être envisagées du côté des fabricants pour pouvoir faire face aux menaces actuelles :
- Permettre aux consommateurs de modifier plus aisément les données d’authentification. Les fabricants pourraient, par exemple, rendre la création d’un mot de passe fort obligatoire lors de la première installation de l’appareil ;
- Donner à chaque dispositif un mot de passe aléatoire et unique, qu’ils enverraient à leurs clients avec le produit ;
- Effectuer des mises à jour régulières des logiciels pour remédier aux failles aideraient aussi les objets connectés à bloquer les attaques. Les fabricants utilisent actuellement en effet souvent des versions obsolètes. Or, pour de nombreux appareils, il est impossible de patcher le micrologiciel. Par conséquent, si un hacker parvient à exploiter une vulnérabilité, la seule option disponible est de déconnecter l’appareil du réseau de manière permanente.
Le mois de la cybersécurité est une bonne opportunité pour les fabricants d’échanger avec des experts du secteur afin d’améliorer la sécurisation des objets connectés, puis d’appliquer les conseils reçus dans l’ensemble du cycle de vie de leurs produits, de la conception à l’usage final par le consommateur, en passant par la production ! Toutefois une cyberprotection optimale ne sera pas possible si les utilisateurs finaux n’adoptent pas aussi de leur côté des outils de sécurité et des bonnes pratiques. Finalement, pour espérer une lutte efficace contre les cybermenaces qui planent sur l’ensemble des objets connectés, il est important que les professionnels ET les consommateurs finaux se montrent responsables via la mise en place de mesures de protection concrètes, et ce, même une fois le mois d’octobre dédié à la cybersécurité terminé !
____________
Michal Salat est Threat Intelligence Director, Threat Labs, chez Avast