À partir de l’analyse de millions de connexions de dispositifs IoT présents sur les réseaux d'entreprise, le fournisseur en solutions de sécurité cloud Zscaler a constaté que plus de 40% de ces réseaux ne chiffraient pas leur trafic. Cela signifie qu’un nombre important de ces dispositifs est exposé à des attaques Man-in-the-Middle (MitM), c’est-à-dire que des pirates peuvent intercepter le trafic et voler ou manipuler les données en transit. Le nouveau rapport publié aujourd'hui par le spécialiste de la sécurité des réseaux est basé sur des données télémétriques recueillies dans le cloud de l'entreprise. Zscaler a examiné pendant un mois plus de 56 millions de transactions de dispositifs IoT connectés sur 1051 réseaux d'entreprise.
À partir de ces données, Zscaler a dressé une liste de 270 profils IoT différents pour les produits de 153 fabricants d'appareils. Cela concerne en particulier des caméras IP, des montres intelligentes, des imprimantes intelligentes, des téléviseurs intelligents, des décodeurs, des assistants numériques domestiques, des téléphones IP, des appareils médicaux, des enregistreurs vidéo numériques, des lecteurs multimédias, des terminaux de collecte de données, des lecteurs de signalétique numérique, des lunettes intelligentes, des appareils de contrôle industriel, des appareils réseau, des imprimantes 3D, et même des voitures intelligentes. Les décodeurs utilisés pour le décodage vidéo sont les plus représentés, puisqu’ils totalisent plus de 50 % des appareils examinés. Viennent ensuite les téléviseurs intelligents, les objets connectés portables et les imprimantes. Néanmoins, les terminaux de collecte de données sont à l’origine de plus de 80 % des données sortantes.
Les périphériques IoT grand public bien présents en entreprises
Le constat le plus important de ce rapport, c’est que 91,5 % des données transitant par des dispositifs IoT dans les réseaux d'entreprise ne bénéficient d'aucun chiffrement. 41 % des appareils concernés par l’analyse n'utilisent pas le protocole de sécurité de la couche de transport TLS (Transport Layer Security), 41 % n'utilisent le TLS que pour certaines connexions et seulement 18 % utilisent le cryptage TLS pour l’ensemble du trafic. Les appareils qui ne chiffrent pas leurs connexions sont exposés à divers types d'attaques Man-in-the-Middle (MitM). Un attaquant qui accède au réseau local - par une attaque de malware par exemple - pourrait usurper le protocole de résolution d'adresse Address Resolution Protocol (ARP) ou compromettre un routeur local, puis intercepter le trafic IoT pour exécuter des actions malveillantes ou voler les identifiants et des données envoyés en texte clair.
Selon Deepen Desai, vice-président de la recherche et des opérations de sécurité chez Zscaler, le plus préoccupant, c’est que les entreprises utilisent un grand nombre de périphériques IoT grand public sur leurs réseaux. Ce constat met en évidence le problème de cet informatique de l’ombre qui désigne tous les appareils électroniques que les employés connectent au réseau de leur entreprise, depuis les objets portables jusqu’aux véhicules connectés, difficiles à contrôler. « Les entreprises devraient utiliser une solution qui leur permette de scanner en permanence leur réseau, d’identifier ces dispositifs fantômes, et autoriser ces dispositifs à ne se connecter qu’à des portions de réseau distinctes et non critiques en appliquant des politiques », a ajouté M. Deepen Desai. C’est en effet un autre problème courant mis en évidence par Zscaler : la plupart des périphériques IoT sont connectés au même réseau que les applications et les systèmes critiques de l'entreprise. Cela signifie que si l'un des dispositifs IoT est compromis, les attaquants peuvent cibler tous les autres systèmes.
Des mises à jour de sécurité aux abonnés absents
En fait, le problème se pose dans les deux sens : si un attaquant compromet un poste de travail ou un ordinateur portable d’un salarié avec un logiciel malveillant, il peut alors potentiellement accéder à un périphérique IoT sur le même réseau. Il est probable qu‘une infection par un logiciel malveillant sur un ordinateur ordinaire soit détectée tôt ou tard. Par contre, un appareil IoT fournit aux attaquants une porte dérobée furtive sur le réseau et ce mode de piratage est beaucoup plus difficile à déceler. M. Desai, Zscaler évoque des cas où les appareils IoT de l’entreprise ont été exposés directement à Internet, comme des caméras de surveillance, mais leur nombre est assez faible par rapport au nombre total d'appareils IoT connectés à des réseaux d’entreprise. Les appareils connectés directement à Internet ont certainement plus de chance d'être attaqués, mais ceux qui se trouvent à l'intérieur des réseaux locaux ne seraient pas non plus difficiles à compromettre.
Quand Zscaler a analysé les infections de malware auxquels avaient été exposés les appareils IoT, l’entreprise de sécurité a constaté que de nombreux périphériques étaient protégés par des identifiants faibles, utilisait les identifiants par défaut, ou étaient toujours affectés par des failles de sécurité connues. La majorité des périphériques IoT ne bénéficie pas de mises à jour automatiques et leurs utilisateurs vérifient et déploient rarement les mises à jour manuellement. Les chercheurs de Zscaler ont également observé que beaucoup d’appareils IoT utilisaient des bibliothèques obsolètes avec des vulnérabilités connues. En moyenne, 6 000 transactions IoT par trimestre résultent d'infections par malware. Mirai, Rift, Gafgyt, Bushido, Hakai et Muhstik. sont les familles de malwares les plus couramment employées pour cibler ces dispositifs. Généralement, ces botnets se répandent par le biais d’attaques par force brute ou en exploitant des vulnérabilités connues dans les frameworks de gestion.
« L'adoption rapide de ces dispositifs IoT offre un nouveau vecteur d'attaque pour les cybercriminels », a déclaré Deepen Desai. « La technologie IoT a évolué plus rapidement que les mécanismes pour protéger ces dispositifs et leurs utilisateurs. De plus, la plupart des hardwares IoT grand public qui ont inondé le marché ces dernières années ne contiennent pratiquement aucune sécurité intégrée, et certains de ces dispositifs se retrouvent également dans les réseaux d'entreprise ».