Les cyberattaques dans l'Internet des objets (IoT) ne datent pas d'hier. Ce qui est nouveau, en revanche, c’est l’amplification et l’accélération de l’évolution de ces attaques. À la base, l’IoT consiste à connecter et mettre en réseau des appareils. Autrement dit, tous les appareils connectés dits « intelligents » (du réfrigérateur, à la voiture en passant par les dispositifs médicaux connectés) créent un nouveau point d’entrée au réseau et font grimper le niveau de risque pour la sécurité et la protection des données.
Nous devons également mener une réflexion plus vaste sur l’évolution des objets IoT dans différents secteurs. Quels sont les domaines où ils se sont massivement imposés au quotidien — depuis l’industrie manufacturière jusqu’aux réseaux d’approvisionnement ? Pourquoi la mise en œuvre des principes du « security by design » est-elle souhaitable ? Cette réflexion est d’autant plus nécessaire que n’importe quel composant peut être compromis et qu’il nous faut empêcher que l’ensemble de l’écosystème ne soit compromis.
L’impact de chaque attaque varie énormément en fonction de l’écosystème, de l’appareil visé, de son environnement, et du niveau de protection disponible.
Attaques par force brute
Une attaque par force brute est une technique de piratage par tâtonnement. Son but : casser les clés de chiffrement, les mots de passe et les identifiants de connexion. Simple et pourtant efficace, cette technique permet d’accéder, sans autorisation, aux comptes utilisateur, aux systèmes d’information et aux réseaux des entreprises…
On parle de « force brute » car ces attaques utilisent une force excessive pour s’emparer de l’accès aux comptes d’utilisateurs. Elles ont fait leurs preuves, et même si ces attaques par force brute sont un classique, elles restent néanmoins très appréciées des pirates.
Atteinte à la sécurité physique et altération matérielle
Dans un environnement ouvert dépourvu de contrôles, les appareils IoT sont accessibles depuis l’extérieur. Une attaque sur ces appareils relève de l’attaque physique. Physique, car les assaillants peuvent modifier la mémoire ou les calculs avant de récupérer d’autres informations en interagissant avec l’appareil défectueux dans le but de casser la sécurité.
Pour mener leurs opérations à grande échelle, les pirates ont de plus en plus recours aux attaques par altération matérielle — attirés par la valeur des actifs en jeu et la pléthore d’appareils physiques disponibles. Pour les entreprises qui se sont lancées à corps perdu dans l’Internet des objets (IoT), la sécurité physique doit être envisagée comme un investissement prioritaire.
Problématiques du cloud
En intégrant des capteurs et des objets qui communiquent directement entre eux, sans intervention humaine, l’Internet des Objets crée des objets intelligents. Avec le Cloud Computing, les organisations peuvent externaliser leurs processus et autres passages obligés en IT. L’informatique en mode cloud leur permet de se concentrer sur leur cœur de métier, avec à la clé, des gains de productivité, une meilleure exploitation de leurs ressources matérielles et une réduction des coûts de stockage associés à leur infrastructure informatique.
Mais devant la hausse du nombre d’organisations adeptes des technologies cloud, il faut s’assurer que les systèmes sont sécurisés et que les données confidentielles restent protégées.
Botnets
Un botnet est un réseau de systèmes associés entre eux pour prendre le contrôle à distance et diffuser des logiciels malveillants (malware). Contrôlés par des opérateurs de botnets via des serveurs C & C (Commande et Contrôle), ils sont utilisés à grande échelle par des cybermalfaiteurs pour commettre toutes sortes de forfaits : vol de données confidentielles, exploitation de données bancaires en ligne, attaques par DDoS ou encore spams et hameçonnage (e-mails d’arnaques de type phishing).
L’émergence de l’Internet des Objets (IoT) expose de nombreux objets et appareils au risque d’être intégrés, s’ils ne le sont pas déjà, à un « thingbot ». Ce type de botnet intègre des objets connectés indépendants et se retrouve également sous la dénomination d’« objet connecté zombie » en français.
Les botnets et les thingbots englobent plusieurs sortes d’appareils tous interconnectés : des ordinateurs fixes ou portables, aux smartphones et tablettes, avec aujourd’hui des appareils « intelligents ». Botnets et thingbots ont en commun d’être connectés à Internet et sont, de ce fait, capables de transférer automatiquement des données sur un réseau. Les filtres antispam sont capables de repérer de manière assez fiable une machine qui envoie plusieurs milliers d’e-mails similaires. Mais les choses se corsent si les e-mails sont envoyés à partir de plusieurs appareils d’un réseau de machines zombies. Ces machines n’ont qu’un seul objectif : envoyer des milliers de requêtes e-mail sur leur cible pour espérer faire tomber la plateforme, mise à mal par l’avalanche de requêtes.
Le concept d’attaque Man-in-the-Middle ou homme du milieu
On parle d’attaque par interception ou « Man-in-the-Middle (MiM) » quand un pirate cherche à interrompre et intercepter une communication entre deux systèmes distincts. Cette méthode d’attaque peut représenter un danger, car le pirate intercepte discrètement les échanges entre deux parties avant de leur retransmettre — leur faisant croire qu’elles communiquent directement entre elles. Le pirate étant en possession du message original, il peut tromper le destinataire en lui faisant croire à l’authenticité du message reçu. De nombreux cas d’attaques MiM ont déjà été signalés, comme le piratage de véhicules et de réfrigérateurs intelligents.
La nature même des « objets » piratés rend ces attaques dans l’IoT extrêmement dangereuses. Beaucoup d’objets sont potentiellement concernés : outils et équipements industriels, mais aussi les véhicules connectés ou d’autres banals objets connectés, tels que les téléviseurs connectés ou les portails automatiques.
Dans un écosystème IoT, chaque équipement doit avoir une identité unique qui lui est propre. Cet aspect essentiel pour la sécurité des IoT permet aux objets de s’authentifier lorsqu’ils se connectent à Internet. Autre atout : dès lors que ces objets possèdent une identité d’appareil unique et forte, les communications avec d’autres appareils, services et utilisateurs peuvent alors être sécurisées et chiffrées.
Vol de données et usurpation d’identité
Si la presse regorge de terrifiants récits de hackers imprévisibles qui s’en prennent à nos données et à notre argent, côté sécurité, nous sommes bien souvent notre pire ennemi. La négligence dont les fabricants et les utilisateurs font preuve pour protéger leurs appareils connectés profite aux cybercriminels opportunistes et autres hors-la-loi du net.
La stratégie des usurpateurs d’identité consiste à amasser des identifiants et des données… Et à condition de s’armer d’un peu de patience, ils peuvent décrocher le gros lot. En combinant les données disponibles publiquement sur Internet, celles récupérées sur les réseaux sociaux et les objets connectés, il est possible d’avoir une bonne idée générale de l’identité d’une personne. Plus une personne dévoile de choses en ligne, plus les attaques ciblées lancées contre elle, et visant à usurper son identité, sont perfectionnées.
L’usurpation d’identité est un fléau mondial dont la fréquence ne cesse d’augmenter. Les formes les plus courantes sont les usurpations financières, médicales, criminelles (lorsqu’une personne interpellée utilise une fausse identité), synthétiques (création d’une identité factice à partir des données personnelles d’une personne) et celles touchant les enfants (utilisation des informations personnelles d’un mineur pour commettre une fraude, par exemple).
L’ingénierie sociale
L’ingénierie sociale est l’art de la manipulation humaine, visant à amener une personne à révéler des informations confidentielles. Les attaques d’ingénierie sociale se déroulent en plusieurs étapes : l’attaquant commence par analyser sa cible pour déterminer les points d’entrée potentiels et les protocoles de sécurité déficients. Il s’efforce ensuite de gagner la confiance de sa victime et de susciter chez elle des stimuli qui la pousseront à commettre ultérieurement des actes violant les normes de sécurité — tels que la divulgation d’informations sensibles ou l’octroi d’un accès à des ressources clés.
L’attaquant peut également tenter d’accéder à un ordinateur pour y installer discrètement un logiciel malveillant, qui lui permettra plus tard d’accéder aux données personnelles et de prendre le contrôle de l’ordinateur.
L’e-mail de phishing est l’arme privilégiée des attaques par ingénierie sociale pour pousser les victimes à divulguer des informations sensibles ou à se rendre sur des sites bancaires ou d’e-commerce frauduleux, qui ressemblent à des sites légitimes. Le but : inciter les victimes à saisir leurs informations de paiement.
Déni de service
L’attaque par déni de service (DoS) désigne la situation où un service habituellement opérationnel devient inaccessible. Cette indisponibilité peut avoir plusieurs causes, mais elle est généralement due à l’incapacité de l’infrastructure à faire face à une surcharge d’activité. Lors d’une attaque par déni de service distribué (DDoS), une multitude de systèmes vise une cible unique en utilisant un réseau de zombies (ou botnet). À l’aide de nombreuses machines programmées, souvent à l’insu de leur propriétaire, ces attaques visent à demander un service simultanément, ce qui provoque une surcharge et rend le service inaccessible.
Les attaques DoS, contrairement aux actes de piratage tels que le phishing ou les attaques par force brute, ne visent généralement pas à voler des informations ou à exploiter une faille de sécurité. Cependant, elles peuvent causer d’importants dommages à la réputation d’une entreprise, entraînant de lourdes pertes financières et une perte de temps considérable. Les clients, craignant d’autres problèmes de sécurité et d’indisponibilité de services, peuvent être incités à se tourner vers la concurrence. Les activistes et les maîtres chanteurs trouvent souvent dans les attaques par DoS leur arme de choix.
Les sujets de préoccupation
Une connectivité IoT mal gérée peut exposer l’ensemble de l’infrastructure à des cyberattaques.
La protection de la confidentialité des données est un enjeu crucial pour l’IoT. Les entreprises doivent donc évaluer leurs règles de confidentialité et de sécurité des données afin d’améliorer leur niveau de protection. Pour minimiser les risques, il est important de s’assurer que tous les fournisseurs d’IoT impliqués dans votre infrastructure contrôlent entièrement la transmission et le traitement des données, afin d’éviter les attaques par interception. En outre, la mise en place de responsabilités commerciales de bout en bout peut contribuer à renforcer la sécurité et à protéger les données collectées.