Selon une étude réalisée par le fournisseur de sécurité Zscaler, la plupart des transactions IoT n’offrent même pas une sécurité de base, et du fait de cet IT fantôme, la majorité des transactions non autorisées se déroulent à l'intérieur du périmètre des pare-feu d'entreprise. Pendant deux semaines, Zscaler a analysé près de 500 millions de transactions IoT exécutées par plus de 2 000 entreprises. Ce travail a révélé que les transactions étaient exécutées par 553 dispositifs IoT différents provenant de plus de 200 fabricants différents. Surtout, la sécurité était désactivée sur beaucoup de dispositifs. L’analyse, réalisée sur le propre service de sécurité d'accès à Internet de Zscaler, a également montré que l’usage de l’IoT augmentait de manière explosive : en mai 2019, quand le fournisseur a commencé à surveiller le trafic IoT généré par sa clientèle d'entreprises, le nombre de transactions IoT par mois était de 56 millions. En février 2020, le volume est passé à 33 millions de transactions par jour, soit un milliard de transactions par mois, ce qui représente une augmentation de 1500 %.
La définition des dispositifs IoT d'entreprise par Zscaler est assez large puisque le fournisseur comptabilise aussi bien les terminaux de collecte de données, les lecteurs de médias à affichage numérique, les dispositifs de contrôle industriel, les appareils médicaux, que des appareils non professionnels comme les assistants numériques domestiques, les décodeurs TV, les caméras IP, les appareils domestiques intelligents, les téléviseurs intelligents, les montres intelligentes et même les systèmes multimédia embarqués. « On peut voir ainsi que certaines personnes accèdent à la caméra de surveillance de leur domicile à partir du réseau de l'entreprise. Ou qu’elles utilisent leur Apple Watch pour consulter leur messagerie. Ou encore, qu’elles se connectent au réseau de l'entreprise depuis leur domicile, et qu’elles vérifient régulièrement le système de sécurité de leur domicile ou qu’elles se connectent à des appareils multimédia », indique l’entreprise de sécurité dans son rapport.
Chiffrement SSL pour 17% des données IoT
Pour être honnête, ces pratiques sont vraiment très répandues, et que celui ou celle qui n’a jamais péché jette la première pierre. Ce qui est plus troublant, c'est qu’environ 83 % de ces transactions IoT passent par des canaux en texte en clair, et que seulement 17 % utilisent le SSL. Le trafic en texte clair est risqué, car il s’expose au reniflage de paquets, à des écoutes illicites, à des attaques de type « man-in-the-middle » et à d'autres exploits. Et le nombre d'exploits est important. Cette année, Zscaler a détecté tous les mois environ 14 000 exploits de malwares ciblant l’IoT, soit sept fois plus que l'année passée. « Les gens peuvent garder leurs Smart Watch et tous les outils intelligents possibles et imaginables. L'interdiction de ces dispositifs ne résoudrait rien. Il faut plutôt changer de discours sur la sécurité et les risques auxquels peuvent exposer les dispositifs IoT et réévaluer nos exigences pour que les fabricants renforcent la sécurité de leurs dispositifs », a écrit dans un article de blog Deepen Desai, le vice-président de la recherche sur la sécurité de Zscaler.
Selon M. Desai, la vraie solution serait « d’adopter une approche zero-trust ». C'est peut-être un mot à la mode, mais selon lui, « en matière de réseau, il faut inciter les responsables de la sécurité à ne faire confiance à personne, à aucun appareil, s’ils ne peuvent pas identifier l'utilisateur, l'appareil, et si cet utilisateur et cet appareil sont autorisés à accéder aux applications auxquels ils essaient de se connecter ». Même si l’on sait que Zscaler vend ce genre de solution, l’argument reste valable. C’est un problème vieux comme le monde qui resurgit tout le temps. En effet, quand une nouvelle technologie est disponible, tout le monde se précipite pour l'adopter, et la sécurité passe au second plan. En ce sens, l’IoT n'est pas différent. Un conseil cependant : quel que soit l’appareil utilisé, allez dans les paramètres et activez le SSL. C’est vraiment le minimum.