Loin d’être un simple effet de mode, l’Internet des objets (IoT, Internet of Things) a su s’imposer dans les parcs informatiques. Toutefois, comme n’importe quelle technologie connectée, l’IoT peut aussi être la cible d’attaques et de programmes malveillants. Ajoutez à cela les politiques BYOD de multiples entreprises et votre sécurité peut rapidement virer au cauchemar. En effet, des pirates pourront cibler les appareils mal protégés que vos salariés introduisent dans votre entreprise. Et il suffit que ces équipements soient connectés à votre réseau pour que les hackers s’immiscent alors dans vos systèmes.
À l’évidence, les technologies IoT essuieront à l’avenir un nombre croissant d’attaques. L’atout phare de l’Internet des objets, à savoir sa capacité à connecter différents équipements et systèmes, l’expose également aux attaques. Outre la menace qui plane sur ces équipements, que les pirates pourront utiliser comme porte dérobée ou enrôler de force dans un botnet, des informations sensibles courent elles aussi le risque d’être illégalement consultées ou interceptées en transit.
Dans ces conditions, difficile de protéger votre entreprise contre les menaces générées par l’IoT tout en capitalisant sur les avantages de ces appareils en termes d’interconnectivité et de praticité. C’est toutefois possible.
Voici quelques recommandations :
Limitez les équipements IoT au travail
La simple existence d’une politique BYOD ne justifie en rien que vos salariés introduisent n’importe quel terminal dans vos locaux et le connecte à votre réseau.
Les « wearables » en particulier affichent plusieurs failles de sécurité qui peuvent vous exposer aux intrusions. Nombre de ces vêtements et accessoires connectés stockent et transmettent des données non chiffrées, souvent sans mot de passe ni authentification biométrique. Ils communiquent également avec votre smartphone via des connexions non sécurisées comme le Bluetooth ou la communication en champ proche (NFC), les rendant encore plus vulnérables aux attaques par force brute.
Les principales données exposées sont les informations à caractère personnel de vos collaborateurs. En règle générale, ce sont elles que les wearables utilisent. Toutefois, le danger ne s’arrête pas là. En 2014, des hackers éthiques ont révélé des vulnérabilités dans des ampoules connectées qui permettaient de subtiliser un mot de passe Wi-Fi. Pire encore, une fois un objet compromis, il risque de sonder d’autres équipements connectés au réseau et donc de les exposer au danger.
Dans la mesure du possible, il est donc préférable de limiter les appareils IoT connectés à votre réseau, ou tout du moins de les connecter à un réseau distinct. C’est d’ailleurs ce que nous préconisons ci-après.
Utilisez un réseau distinct
Vous avez déjà créé un réseau séparé exclusivement réservé aux visiteurs dans vos locaux afin de leur fournir un accès limité voire de leur interdire l’accès à votre réseau principal ?
Faites-en de même pour les appareils IoT ! Vous pouvez créer un réseau dédié à vos objets connectés et ceux de vos salariés. Ainsi, vous autorisez leur utilisation dans vos locaux afin de satisfaire vos collaborateurs, sans pour autant exposer votre réseau principal aux menaces générées par l’IoT.
C’est encore le moyen le plus simple de protéger votre réseau.
Utilisez des mots de passe forts et uniques
Quelle que soit la technologie à protéger, sécurité rime toujours avec mot de passe fort. L’IoT ne fait pas exception. Encouragez vos collaborateurs à utiliser des mots de passe forts et uniques, surtout lorsqu’ils connectent leurs appareils à un réseau Wi-Fi.
Basée sur le malware Mirai, l’énorme attaque DDoS (déni de service distribué) de 2016 était spécialement conçue pour rechercher des objets connectés aux mots de passe faibles et équipés de versions obsolètes du noyau Linux. Après avoir infecté des routeurs et caméras IP, elle a inondé le fournisseur de DNS Dyn de requêtes. C’est ainsi qu’elle a pu faire tomber de grands sites web comme Etsy, OVH, Shopify, Twitter et Spotify. Au final, le botnet avait réussi à enrôler 380 000 équipements.
Ces objets connectés faciles à pirater peuvent également être exploités pour l’espionnage industriel. En effet, les caméras, micros et haut-parleurs intelligents protégés par des mots de passe faibles peuvent être utilisés pour mettre la main sur des informations sensibles propres à votre entreprise, ou les enregistrer.
Il va donc sans dire que tout objet connecté introduit dans vos locaux pour une utilisation en entreprise (projecteurs, haut-parleurs, mais aussi cafetières et distributeurs automatiques) doit posséder son propre mot de passe fort, et ne surtout pas utiliser les identifiants d’usine.
Nos recommandations :
- Utilisez une combinaison de caractères alphabétiques (minuscules et majuscules), numériques et spéciaux.
- À l’idéal, chaque appareil doit posséder son propre mot de passe. N’utilisez pas le même mot de passe sur plusieurs objets connectés.
N’utilisez pas l’Universal Plug and Play
La plupart des objets IoT sont compatibles avec le protocole Universal Plug and Play (UPnP), ce qui facilite leur connexion à d’autres appareils. Ainsi, différents périphériques comme des routeurs, des imprimantes et des caméras peuvent facilement se détecter et se connecter les uns aux autres, et ce sans configuration complexe.
Toutefois, ces fonctionnalités exposent également vos appareils. N’importe qui, y compris des individus malveillants, peut aisément détecter leur présence. Cela revient donc à ouvrir grand vos réseaux aux pirates.
En clair, bien que pratique, UPnP peut également vous exposer aux attaques. C’est pourquoi nous vous suggérons de le désactiver et de prendre le temps de définir vos propres configurations.
Mettez régulièrement à jour votre firmware
La présence de fonctionnalités de sécurité sur vos appareils ne suffira pas à vous protéger.
Comme pour vos logiciels PC, il est préférable de mettre en permanence à jour le firmware de vos objets connectés. Ces correctifs remédient aux bugs et autres problèmes de sécurité en constante évolution. En négligeant ces mises à jour, vous sapez la sécurité de vos appareils qui seront alors incapables de reconnaître de nouvelles formes d’attaques.
Automatisez vos mises à jour. Mieux encore, consultez régulièrement le site web du fabricant ou contactez-le directement pour vérifier si votre appareil exécute bien le dernier firmware.
Intégrez uniquement des services cloud sécurisés
Les fournisseurs d’applications professionnelles basées dans le cloud perçoivent bien l’intérêt de l’IoT pour l’efficacité de leurs opérations. C’est d’ailleurs pour capitaliser sur ces avantages qu’Amazon a lancé Alexa for Business en fin d’année dernière. Sa solution s’intègre aux principales applications cloud professionnelles comme le système de téléphonie RingCentral, Microsoft Office 365, la gamme d’outils de productivité G Suite, ou encore les applications de gestion de la relation client de Salesforce.
Toutefois, ces services offrent également des fonctionnalités de chiffrement et de protection renforcés des données. Ce qui n’est pas le cas de tous les services cloud du marché.
Le problème : de nombreux appareils IoT requièrent un service cloud dont le niveau de sécurité est inférieur à celui des services déjà mentionnés. Vous risquez donc de synchroniser des données sensibles et de partager trop d’informations sans le vouloir.
En clair, attention à bien lire la politique de confidentialité de votre service cloud dans son intégralité, y compris les clauses sur le chiffrement et la sécurité des données.
L’IoT a pour vocation de vous simplifier la vie. Toutefois, la technologie n’en étant encore qu’à ses balbutiements, elle génère encore de nombreux risques de sécurité. Il est donc essentiel de conserver la maîtrise de vos objets connectés. Ne laissez pas votre quête d’efficacité virer au cauchemar !
À propos de l’auteur
Mark Dacanay est un professionnel du Marketing Digital en poste depuis plus de 5 ans dans une entreprise B2B de services cloud. C’est un véritable passionné des technologies cloud qui n’a pas la tête dans les nuages. Vous pouvez le joindre sur Twitter et LinkedIn.
Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.