Il existe depuis longtemps toutes sortes d’attaques. Ce qui est nouveau, en revanche, c’est l’envergure de ces attaques et la relative simplicité avec laquelle elles opèrent dans l’Internet des Objets (IoT). Peu, voire pas du tout protégés, les millions d’appareils connectés de l’IoT sont autant de victimes potentielles de cyberattaques. Et même si ces attaques sont classiques, les dégâts potentiels seront à une tout autre échelle. À la base, l’IoT consiste à connecter et mettre en réseau des appareils qui ne l’étaient pas forcément jusqu’à présent. En clair, tous ces appareils – du réfrigérateur connecté flambant neuf à la voiture connectée – créent un nouveau point d’entrée sur votre réseau avec un risque accru pour la sécurité et la confidentialité.
Si ce type d’attaques suit fréquemment le même mode opératoire qu’auparavant, leur impact varie énormément en fonction de l’écosystème, de l’appareil visé, de son environnement, du niveau de protection disponible et de bien d’autres paramètres.
Vous trouverez dans ce billet une synthèse des différents types d’attaques possibles. N’hésitez pas à cliquer sur les liens pour approfondir le sujet.
Les botnets
Un botnet est un réseau de systèmes associés entre eux dans le but de prendre le contrôle à distance et de diffuser des logiciels malveillants (malware). Contrôlés par des opérateurs de botnets via des serveurs C&C (Commande et Contrôle), ils sont utilisés à grande échelle par des cybermalfaiteurs pour commettre plusieurs types de forfaits : vol de données confidentielles, exploitation de données bancaires en ligne, attaques par DDos ou encore pourriels et hameçonnage (e-mails d’arnaques de type phishing).
L’émergence de l’Internet des Objets (IoT) expose de nombreux objets et appareils au risque de devenir, s’ils ne le sont pas déjà, un thingbot – un botnet intégrant des objets connectés indépendants – ou objet connecté zombie en français.
Les botnets et les thingbots se composent de plusieurs appareils différents, tous interconnectés : des ordinateurs fixes ou portables, aux smartphones et tablettes aux appareils « intelligents ». Ces objets partagent deux grandes caractéristiques communes : ils sont connectables à Internet et capables de transférer automatiquement des données sur un réseau. Les technologies anti-spam sont capables de repérer de manière plutôt fiable si une machine envoie des milliers d’e-mails similaires. C’est beaucoup plus difficile si les e-mails sont envoyés à partir de plusieurs périphériques appartenant à un réseau de zombies. Ces machines ont toutes un seul objectif : envoyer des milliers de requêtes e-mail sur leur cible dans l’espoir de faire tomber la plateforme qui se débat pour résister à l’avalanche de requêtes.
Le concept d’attaque Man-in-the-Middle ou homme du milieu
Le concept de Man-in-the-Middle (MiM) désigne une attaque menée par un pirate qui cherche à interrompre et intercepter une communication entre deux systèmes distincts. Ce type d’attaque peut être dangereux, car le pirate intercepte discrètement les messages entre deux parties pour les leur transmettre, alors qu’elles pensent communiquer directement entre elles. En possession du message d’origine, l’agresseur est en mesure de piéger le destinataire en lui faisant croire que le message qu’il reçoit est légitime. De nombreux cas d’attaques MiM ont déjà été signalés, comme le piratage de véhicules et de réfrigérateurs intelligents.
Du fait de la nature des « objets » piratés, ces attaques peuvent être extrêmement dangereuses dans l’IoT. Elles peuvent notamment viser des outils et équipements industriels, des véhicules ou des objets connectés inoffensifs comme des téléviseurs connectés ou des systèmes d’ouverture de portail automatique.
Le vol de données et l’usurpation d’identité
Si d’inquiétants cybermalfaiteurs défraient régulièrement la chronique en s’en prenant à nos données et à notre argent, en matière de sécurité, nous sommes bien souvent notre pire ennemi. La négligence dont fabricants et utilisateurs font preuve pour protéger leurs appareils connectés (mobiles, tablettes, liseuses, smartwatch...) fait le jeu des malfrats et des opportunistes.
Dans le cas de l’usurpation d’identité, la stratégie consiste à amasser des données... Et avec un peu de patience, il y a beaucoup de données à récupérer. Entre les données d’ordre général disponibles sur Internet, les informations récupérées sur les réseaux sociaux, les montres intelligentes, les capteurs d’activités auxquels s’ajoutent, le cas échéant, les données de compteurs et réfrigérateurs intelligents, et d’autres objets connectés... Si l’on combine toutes ces données, votre identité personnelle n’a plus rien de secret... Plus l’on trouve de renseignements sur quelqu’un, plus il est facile de lancer une attaque ciblée perfectionnée en vue d’usurper son identité.
L’ingénierie sociale
L’ingénierie sociale est l’art de manipuler les gens pour les amener à révéler des informations confidentielles. Si le type d’informations recherché par les malfaiteurs peut varier, lorsqu’ils s’en prennent à quelqu’un, les malfaiteurs essaient généralement de leurrer leurs cibles pour les inciter à leur communiquer leurs mots de passe ou données bancaires. Ils peuvent également tenter d’accéder à un ordinateur pour installer en douce un logiciel malveillant qui leur permettra par la suite d’accéder aux données personnelles et à prendre le contrôle de l’ordinateur. L’arme privilégiée des attaques par ingénierie sociale est bien souvent l’e-mail de phishing qui vous pousse à donner des informations ou à vous rediriger vers des sites bancaires ou d’e-commerce qui, malgré une apparente légitimité, sont en fait usurpés. Le but : vous inciter à saisir vos informations de paiement.
Les attaques par déni de service
On parle d’attaque par déni de service (DoS) lorsqu’un service généralement opérationnel est indisponible. S’il peut y avoir plusieurs raisons, cette indisponibilité tient souvent à l’incapacité de l’infrastructure à faire face à une surcharge d’activité. Dans une attaque par déni de service distribué (DDoS), une multitude de systèmes s’en prend à une seule cible. Par l’intermédiaire d’un réseau de zombies (ou botnet), ces attaques utilisent un grand nombre de machines programmées (souvent à l’insu de leur propriétaire) pour demander un service au même moment.
Contrairement aux actes de piratage comme le phishing ou les attaques par force brute, les attaques DoS n’ont généralement pas pour but de dérober des informations ou de provoquer une faille de sécurité. Il n’en reste pas moins que les dégâts causés à la réputation d’une entreprise peuvent être financièrement lourds et chronophages. Par crainte de rencontrer d’autres problèmes de sécurité et d’indisponibilité de leurs services, les clients décident souvent de passer à la concurrence. Une attaque par DoS représente l’attaque idéale pour les activistes et maîtres chanteurs.
Les sujets de préoccupation
La confidentialité représente un enjeu majeur pour l’IoT. Comment les données des consommateurs seront-elles utilisées et par qui ? Un environnement dans lequel tout est connecté à Internet – domicile, bureau, véhicules, appliances, équipements de bureau, etc. – interpelle les clients et les entreprises : où ces données vont-elles et, bien sûr, comment seront-elles utilisées ? Les entreprises vont devoir évaluer leurs règles de confidentialité et de sécurité des données pour hausser leur niveau de jeu et assurer la protection et la confidentialité des données collectées. Ce n’est qu’à partir du moment où les entreprises prendront la question au sérieux que la confidentialité pourra être garantie.
Au fil du temps, votre entreprise sera probablement confrontée à toutes sortes d’attaques. L’important est que vous ne vous laissiez pas distraire par l’exploit de la semaine.
Investissez votre temps et votre argent dans une structure de sécurité solide, concentrez-vous sur les attaques les plus courantes, proposez régulièrement des formations à vos équipes pour qu’elles puissent repérer les attaques lorsqu’elles se produisent, et focalisez-vous sur les menaces les plus probables et potentiellement les plus lourdes de conséquences pour votre entreprise. Les réponses aux préoccupations en matière de sécurité existent : il faut renforcer la sécurité, l’authentification et la gestion des données.