Le concept de l’homme du milieu ou "Man-in-the-Middle" désigne une attaque menée par un pirate qui intercepte une communication entre deux systèmes. Ce type d’attaque est dangereux, car l’agresseur se fait passer pour l’expéditeur original. En possession du message d’origine, l’agresseur peut piéger le destinataire en lui faisant croire que le message qu’il reçoit est légitime.
Avec l’Internet des Objets, on peut imaginer le scénario suivant : une personne ou une entité malveillante pourrait chercher à fausser les données thermiques d’un appareil de contrôle pour provoquer la surchauffe d’une pièce de machinerie et interrompre la production. Au-delà de la gêne occasionnée, les dommages pour l’entreprise pourraient également être d’ordre physique et financier.
Les récentes attaques de l’homme du milieu dans l’actualité
Des hackers s’en sont déjà pris à des véhicules intelligents. Des procédures judiciaires ont récemment été engagées contre de grands constructeurs automobiles. En cause : le manque de mesures de sécurité adéquates qui rendraient leurs véhicules défectueux. Dans le cas du piratage de la Jeep Cherokee en juillet, Chrysler Corporation a ainsi dû rappeler un grand nombre de véhicules. Sans l’instauration de mesures de sécurité drastiques après une batterie complète de tests, les fonctions de base des véhicules demeurent une cible de choix pour les hackers. On imagine aisément le danger que représenterait la prise de contrôle des freins, de la direction et du système d’accélération par un pirate informatique. Une voiture connectée moderne peut être connectée à plusieurs réseaux :
- Cellulaire
- V2V/V2I/V2X
- Bluetooth
- Wifi
- Ethernet filaire automobile
Le fait d’être connecté simultanément à plusieurs réseaux pose un risque supplémentaire. Plusieurs couches de sécurité sont donc nécessaires pour protéger chacun d’entre eux de toute compromission.
Pour limiter ce risque, la stratégie de sécurité des constructeurs automobiles doit être multidimensionnelle. L’authentification pourrait ainsi s’effectuer via un mobile ou un terminal, et le réseau sécurisé de bout en bout à l’aide de technologies de cryptographie ou de chiffrement SSL dans le bus CAN (Controller Area Network) qui gère le réseau de boîtiers électroniques pilotant les principaux organes de la voiture. Pour compliquer la tâche des pirates informatiques, on pourrait envisager l’utilisation de données chiffrées en SSL entre le bus CAN d’un véhicule et les connexions filaires ou sans fil.
En toute logique, le piratage de véhicules inquiète. Mais, des appareils a priori inoffensifs comme les « réfrigérateurs intelligents » exigent également la même vigilance. Si la prise de contrôle de votre réfrigérateur par un hacker effraie moins que le piratage de votre voiture intelligente, ces « objets » connectés peuvent servir de passerelle pour accéder à des données bien plus sensibles et confidentielles. La récente révélation d’une vulnérabilité de l’homme du milieu sur un réfrigérateur intelligent Samsung en est la preuve. Cette vulnérabilité avait permis à un hacker d’accéder aux identifiants de connexion du compte Gmail associé au frigidaire. Or, comme la plupart des gens utilisent les mêmes mots de passe pour plusieurs comptes, le pirate en possession de cette seule information aurait pu facilement accéder à plusieurs comptes.
Comment empêcher les attaques de l’homme du milieu ?
Des certificats numériques pour les objets
Le meilleur moyen d’éviter une attaque de l’homme du milieu est d’utiliser une méthode de chiffrement fort entre le client et le serveur. Le serveur authentifie alors la demande d’un client en présentant un certificat numérique qu’il valide. La connexion peut alors être établie – uniquement à partir de ce moment-là.
Les fabricants d’objets connectés doivent réfléchir aux problématiques d’identité et d’authentification lors de la fabrication des appareils qu’ils souhaitent commercialiser. Une attaque de l’homme du milieu consiste à envoyer de fausses informations et à se faire passer pour un appareil auprès d’un autre appareil ou d’une autre personne. Il faut donc un moyen de prouver que les appareils et les personnes correspondent bien à ce qu’ils affirment être lorsqu’ils communiquent entre eux.
L’installation de certificats numériques sur chaque appareil permet de prouver leur identité. Mais la situation se complique lorsque le fabricant doit émettre des centaines de milliers, voire des millions, de certificats sur plusieurs appareils, puis gérer l’émission et la révocation de ces certificats tout au long de leur cycle de vie. Une solution de gestion comme celle de l’autorité de certification GlobalSign permettrait de résoudre ce problème : en gérant le déploiement d’importants volumes de certificats dans le cloud, les fabricants économiseraient ainsi du temps et de l’argent.
Des certificats numériques pour les VPN
L’utilisation d’un réseau privé virtuel chiffré permet également de prévenir les attaques de l’homme du milieu. Un VPN est un tunnel de communication entre deux appareils ou plus. Pour sécuriser ce tunnel, on peut chiffrer tout ce qui y entre et tout ce qui en sort. Lorsque le chiffrement est activé, aucune donnée ne peut être lue par un pirate qui surveillerait les communications. Dans ce cas, le VPN aura besoin d’un certificat numérique et tous les appareils avec lesquels il communique auront besoin d’un certificat avec une clé publique et privée. Pendant la communication, les clés nécessaires sont échangées dans le cadre d’un processus de handshake et toutes les données restent chiffrées jusqu’à leur destination finale.
Les solutions GlobalSign pour limiter les attaques
GlobalSign est une société de services de gestion des identités qui fournit des solutions de gestion des accès et des identités dans le cloud et sur site. La société fournit également des solutions SSL et PKI aux entreprises qui doivent sécuriser des sites e-commerce, des communications, la transmission de contenus et des interactions communautaires. Notre plate-forme de gestion des identités permet aux entreprises de déployer des services en ligne sécurisés, de gérer les identités de leurs employés et de leur écosystème, et d’automatiser les déploiements PKI dans un monde hyperconnecté où terminaux mobiles, utilisateurs et machines interagissent. GlobalSign propose des solutions, et notamment des certificats numériques, qui répondent aux besoins de sécurité. Ces solutions permettent d’empêcher les attaques de l’homme du milieu et d’autres incidents potentiellement dommageables pour la sécurité.
Pour en savoir plus sur la gestion des identités et les services de certificats GlobalSign pour l’Internet des Objets, visitez notre site Web ou contactez-nous.