Comment protéger vos appareils connectés contre les botnets et autres menaces ?

Les tactiques appropriées seront un élément clé dans la bataille de la sécurité. Un récent article de Forbes s’est intéressé au sujet de la sécurité de l’internet des objets, préconisant des « normes réglementaires strictes », la nécessité de « renforcer la sécurité tout en simplifiant la conformité » et de mettre en place « une approche de bout en bout qui intègre à la fois l’informatique et les technologies opérationnelles ».

 

Examinons quelques-unes des meilleures pratiques pour appréhender les concepts de l’authentification, de la confidentialité des données et des botnets (réseaux de robots).

 

Authentification

 

Les appareils qui doivent s’authentifier sur d’autres systèmes (généralement pour accéder aux données ou les transmettre) doivent être configurés pour le faire de manière sécurisée, par exemple avec des identifiants et mots de passe uniques. Il peut également être possible de mettre en place des clés de cryptage (SSH) pour identifier un appareil et lui permettre de s’authentifier sur d’autres systèmes (la sécurisation des clés proprement dites est bien évidemment une priorité absolue pour que ce modèle fonctionne). Les exemples d’appareils de l’internet des objets qui disposent de cette capacité incluent des téléviseurs en circuit fermé ou des enregistreurs vidéo numériques et des équipements d’antenne satellite.

 

Dans d’autres cas, des certificats SSL peuvent être intégrés aux appareils durant le processus de fabrication ou ajoutés ultérieurement pour établir l’identité des appareils et faciliter le processus d’authentification. L’intégration de la sécurité dans l’appareil dès le début est un concept important que les fabricants d’appareils de l’internet des objets doivent envisager, de sorte qu’un examen attentif des vulnérabilités ou failles possibles soit pris en compte dans le processus de conception. Parmi les exemples d’appareils de l’internet des objets qui peuvent utiliser des certificats SSL figurent le bouton AWS IoT, les compteurs intelligents et les appareils de gestion de l’énergie domestique.

 

S’agissant des mises à jour des appareils (logiciels et microprogrammes, par exemple), l’authentification doit être employée lorsque cela est possible pour s’assurer qu’elles ne peuvent récupérer le code qu’à partir des systèmes approuvés, tels que des serveurs internes ou des appareils autorisés.

 

Selon vos appareils de l’internet des objets, la recherche et la mise en œuvre des capacités ci-avant (si elles ne sont pas déjà présentes) constituent une première étape judicieuse en termes de sécurité.

 

Confidentialité des données

 

Les appareils de l’internet des objets peuvent utiliser des ancres d’approbation basées sur le matériel, également appelées « racines de confiance », qui utilisent un processus de démarrage approuvé pour s’assurer que les appareils fonctionnent dans un état sécurisé connu et que leur contenu reste privé. Il est également possible de se défendre contre des attaques de logiciels non approuvés en isolant le code dans différents emplacements matériels afin qu’elles ne puissent pas accéder aux ressources sécurisées.

 

Que les données soient en transit ou au repos, elles doivent être cryptées pour protéger le contenu lorsque cela est possible.

 

Les mémoires sur puce des appareils de l’internet des objets peuvent empêcher les données d’être consultées ou dérobées en utilisant la cryptographie pour crypter ou décrypter les informations. La communication entre des appareils de l’internet des objets et d’autres systèmes doit être sécurisée via des liens cryptés utilisant des protocoles tels que TLS (sécurité de la couche transport), qui est couramment utilisé avec les navigateurs web, notamment pour réaliser des transactions financières. TLS peut empêcher les attaques de l’intercepteur, où les données en transit sont capturées et analysées pour dénicher les éléments confidentiels.

 

C’est également une bonne idée d’isoler les données de sorte qu’elles ne soient disponibles que pour les systèmes qui ont besoin d’y accéder. L’utilisation de réseaux protégés par un pare-feu où seuls figurent les systèmes requis est un bon exemple.

 

Botnets

 

Les appareils de l’internet des objets peuvent être exposés aux botnets (également appelés « thingbots », ou objets connectés zombies). Un botnet est un groupe exploité à des fins privées de systèmes contrôlés via un programme malveillant (qui a précédemment infecté un appareil). Les botnets sont souvent utilisés pour fomenter des attaques par refus de service distribué visant à neutraliser ou paralyser les systèmes cible, à des fins de vengeance, d’extorsion et de perturbation délibérée.

 

Un exemple connu est le botnet Mirai, qui a lancé de vastes attaques par refus de service distribué en début d’année contre Imperva, KrebsOnSecurity et Dyn (ce qui a affecté Twitter, Spotify et d’autres sites). Le code source de Mirai a été rendu public et les chercheurs d’Imperva l’ont analysé afin de mieux comprendre Mirai. Ces recherches ont permis notamment de développer un outil d’analyse qui peut vérifier si les appareils d’un réseau sont infectés ou vulnérables au programme malveillant Mirai.

 

Voici quelques recommandations pour protéger les appareils de l’internet des objets contre les menaces que représentent les botnets. Pour les propriétaires d’appareils : « Faites attention à ce que vous connectez à internet. Êtes-vous sûr que votre appareil a besoin d’être exposé au monde entier ? Si la réponse est non, placez-le derrière votre routeur (et ne configurez pas de transfert de port vers cet appareil dans les réglages) ou limitez son accès. Changez le mot de passe fourni par défaut avec l’appareil au profit d’un autre difficile à deviner », conseille Ben Herzberg, directeur de la recherche en sécurité à Imperva.

 

Travis Smith, ingénieur de recherche en sécurité à Tripwire, ajoute que les mises à jour sur les appareils de l’internet des objets peuvent également poser un risque pour la sécurité.

 

« La plupart des appareils fonctionnent sous une variante de Linux, qui peut être obsolète et extrêmement vulnérable avant même la sortie de l’appareil. Même si un fournisseur publie une mise à jour, il n’existe aucune directive sur la façon de traiter cette mise à jour. Certains fournisseurs installent automatiquement la mise à jour sur les appareils dès sa publication. Toutefois, la majorité des fournisseurs ne sortent jamais la moindre mise à jour de sécurité ou bien n’informent pas le propriétaire de l’appareil de cette mise à jour. Les utilisateurs finaux doivent donc se montrer vigilants concernant les appareils qu’ils ont installés et vérifier constamment les mises à jour des fournisseurs. »

 

Pour les entreprises : « Compte tenu de l’augmentation du nombre d’appareils de l’internet des objets, il est plus facile pour les attaquants de lancer des attaques massives par refus de service distribué. Par conséquent, il est important de planifier ces attaques et de s’assurer que le trafic lié à une attaque est atténué dans le cloud avant qu’il n’atteigne votre entreprise », souligne Ben Herzberg.

 

Tim Matthews, vice-président d’Imperva, témoigne : « La sécurisation des appareils de l’internet des objets nécessitera à la fois une meilleure éducation des consommateurs et l’intégration de la sécurité dès la conception de la part des fabricants. Dans l’idéal, les entreprises de sécurité et les fabricants d’appareils devraient collaborer afin de créer des normes pour les références d’identité et l’accès qui soient comparables à un sceau de conformité UL. »

 

L’Internet of Things Security Foundation cherche également à répondre à ces préoccupations en communiquant les meilleures pratiques, des conseils et des actualités pour aider les entreprises et consommateurs à rester informés des risques pour la sécurité. Si vous possédez ou administrez des appareils de l’internet des objets, je vous recommande de visiter leur page régulièrement pour rester au courant des nouveaux développements dans le domaine de la sécurité de l’internet des objets.