C’est la news insolite du jour…  Ou plutôt la Fakenews du jour… Un scénario de science-fiction plausible, dérivé d’une expérimentation mais qui illustre les défis de cybersécurité de l’IoT. En s’attaquant au logiciel embarqué dans un appareil anodin comme une brosse à dents il est possible de l’enrôler dans un botnet…

Les objets connectés transforment notre quotidien à tous… Y compris aux RSSI, mais d’une autre façon. Car les objets connectés, aussi innocents qu’il puisse paraître, ne sont pas passifs. C’est même tout l’inverse. Ils sont dotés d’un minimum d’intelligence et de connectivité qui peuvent être détournées de leur usage d’origine. C’est ainsi qu’ils peuvent être compromis et se transformer en arme pour paralyser l’activité d’une entreprise ou d’une organisation.

Depuis plusieurs années, les exemples d’objets ainsi détournés de leur fonction première pour servir les sombres desseins des cyberattaquants se multiplient. On l’a vu avec les Webcams, avec les box multimédias, avec les routeurs et box des opérateurs, avec les écrans connectés, etc. Des appareils dont les vulnérabilités ont été exploitées pour de l’espionnage ou mener des attaques par déni de services.

Et si les objets connectés pour mener une cyberattaque étaient des brosses à dents ?

C’est un scénario fantasmé par Aargauer Zeitung, dans lequel  3 millions de brosses à dents connectées seraient compromises et enrôlées dans un botnet pour mener des attaques DDoS. Le scénario est plausible parce que des chercheurs en cybersécurité ont trouvé une faille dans le logiciel Java d’une brosse à dents qui peut être exploitée pour en prendre le contrôle, l’enrôler dans un botnet et s’en servir à d’autres fins que le brossage des dents. Le scénario fantasmé reste plausible comme la possibilité de détourner ainsi un objet du quotidien.

Un récent rapport de Netscout s’inquiétait d’ailleurs mi-janvier de pics massifs de dispositifs compromis effectuant des scans quotidiens du réseau mondial, pics trahissant un regain d’activité des botnets malveillants en quête de vulnérabilités et voies d’attaques.

Si un tel scénario reste hypothétique, les risques induits par l’IoT et la nécessité de protéger les objets connectés sont bien réels. Tout objet vulnérable constitue une porte d’entrée sur le réseau auquel il est connecté et tout objet vulnérable connecté à Internet peut être perverti à des fins malveillantes. Or trop de ces appareils, par négligence, par manque de temps, par limitation de ressources, par pression du « Go To Market », se révèlent peu ou pas sécurisés. Une telle histoire permet de remettre en perspective l’importance de la sécurité dès la conception (security by design) mais aussi de la mise en œuvre de bonnes pratiques permettant de détecter les modifications comportementales, de repérer les modifications de code, d’administrer les mises à jour de ces appareils. Elle doit encourager davantage les entreprises qui produisent de tels objets connectés à s’intéresser aux plateformes de sécurisation de l’IoT telles qu’AWS IoT Device Defender, Azure Sphere, Medigate XIot, Quarkslab QShield, etc. Elle remet aussi en perspective l’importance de certifications comme l’EUCC et le cyberscore.

 

À lire également :

Sécurité : Relever la crise cyber de l’IoT

Seulement 20% des entreprises françaises ont déployé des projets IoT d’envergure

Quelle stratégie pour faire face aux risques de sécurité dans les déploiements IIoT ?

Objets connectés : le besoin majeur de dispositifs de sécurité pour l’Edge et l’IoT