S’il n’y pas encore eu d’attaques DDoS via des brosses à dents connectées contre une entreprise suisse, une conductrice du Morbihan s’est bien faite pirater sa voiture Tesla et en a perdu le contrôle. Derrière cette affaire se pose la question du piratage des objets connectés pour voler des informations, prendre le contrôle de l’objet ou bien mener d’autres méfaits comme l’impossibilité d’accès à des sites Internet ou à des applications web. Huit attaques par jour seraient d’ailleurs menées en moyenne dans les foyers équipés d’objets connectés en tout genre selon le rapport publié en 2023 par les éditeurs Netgear et Bitdefender. C’est colossal, mais ce chiffre est aussi à mettre en parallèle à tous ces objets qui envahissent notre quotidien à domicile et au bureau ; d’ailleurs, Yavor Gueorguiev, Application Delivery Manager chez Genetec France, constate une pénétration plus importante des objets connectés chez ses entreprises clientes due notamment à la mise en œuvre accélérée de politiques de Byod. Un avis que partage Eric Antibi, directeur technique de Palo Alto Networks France, qui ajoute que l’usage des terminaux personnels s’est fortement accru depuis la crise sanitaire et la généralisation du télétravail qui en a découlé. À ce titre, le porte-parole de Palo Alto juge important de catégoriser les différents usages autour de l’IoT afin d’apporter les réponses adéquates comme l’IoT générale qui couvre les terminaux mobiles, les imprimantes ou encore les écrans dans une salle de réunion, l’IoT lié au monde médical composé de scanners et d’autres appareils ou encore l’OT (Operational Technology) autour du secteur industriel avec des systèmes utilisés pour la fabrication, la distribution d'énergie ou encore la gestion des bâtiments. De son côté, Fabien Maisl, global marketing Industrial IoT chez Cisco, identifie deux catégories et en précise leur gestion : l’IoT d’entreprise géré par l’équipe IT, parfois par les services généraux, et l’IoT industriel plutôt géré par les métiers avec le support des équipes IT.
Des botnets toujours très actifs
Entre les équipements industriels connectés, les objets grand public, la prolifération de capteurs dans les entreprises et les villes connectées, ce sont des dizaines de milliards d’objets opérationnels qui s’activent déjà dans le monde. Et les estimations à venir sont colossales tout comme les menaces qui pèsent sur eux. Selon Yavor Gueorguiev, il apparaît évident que les menaces seront d’autant plus importantes si la gestion des objets connectés n’est pas correctement assurée et que les objets ne sont pas issus d’un fournisseur de confiance. Plusieurs faits marquants et médiatisés ont d’ailleurs concerné le piratage des objets comme les caméras de vidéosurveillance. Par exemple, en septembre 2016, les cybercriminels avaient, via des caméras connectées, noyé de requêtes l’hébergeur OVH, ce qui avait provoqué des ralentissements des sites hébergés sans pour autant faire tomber les serveurs. Ce même type d’attaques s’était reproduit un mois après contre le gestionnaire de noms de domaine américain Dyn avec pour conséquence un accès temporaire interrompu de plusieurs sites (Netflix, Spotify, Airbnb, Twitter, PayPal). L’éditeur Cloudflare, qui protège 20 % de l’internet mondial donc des millions de sites d’entreprises et des milliers en France (dont Mano Mano, Carrefour, Norauto, etc.), avait indiqué en avril dernier une augmentation significative des attaques DDoS, +117 % sur le trimestre précédent de cette année (lien vers https://www.lemondeinformatique.fr/les-dossiers/lire-jo-2024et-8239-des-pirates-deja-a-l-oeuvre-1511.html). Mirai, Rift, Gafgyt, Bushido, Hakai et Muhstik sont les familles de malwares les plus couramment employées pour cibler ces dispositifs. Et ces malwares à l’origine de la création des botnets sont loin d’avoir disparu selon Florent Lefèvre, responsable du développement OT/IoT chez Fortinet France. « Beaucoup de ces botnets sont encore actifs d’après nos équipes au sein de notre centre de détection de menaces FortiGuard Labs qui gère entre 220 et 240 milliards d’informations par jour. » En 2019, un rapport de Zscaler alertait sur la vulnérabilité de l’IoT notamment sur les nombreux appareils connectés qui utilisaient des bibliothèques obsolètes avec des vulnérabilités. En 2023, les choses n’avaient pas évolué et se sont même aggravées, l’équipe de recherche de Zscaler a constaté que les attaques de malwares à l’encontre de l’IoT avaient augmenté de 400 % au premier semestre 2023 par rapport à la même période en 2022.
Des acteurs bientôt soumis à des règlements plus stricts
Ne mettons pas tous les fabricants d’appareils connectés dans le même panier, de nombreux acteurs se sont déjà attelés à mieux sécuriser leurs produits, c’est notamment vrai pour des fournisseurs qui ciblent des marchés très régulés comme la finance et la santé, ce qui ne garantit pas d’être inattaquable. A leur défense, la priorité de ces fournisseurs a d’abord été centrée sur l’expérience de l’utilisateur et les fonctionnalités. « En soi, les machines industrielles et objets grand public sont pensés à l’origine pour un usage opérationnel avec une expérience utilisateur améliorée mais pas forcément avec une sécurité accrue », clarifie sur ce point Grégory Gatineau, Category Manager chez HPE Aruba Networking. Un avis que partage aussi Marc Coutelan, directeur des ventes chez Nozomi Networks France : « C’est difficile de sécuriser les objets connectés, car ils embarquent souvent un OS très simplifié sans montée de version. Cela dit, nous ne devrions pas pouvoir démarrer un objet connecté avec un mot de passe par défaut. Et pourquoi n’appliquons-nous pas les règles de l’industrie automobile. En effet, en cas de problème, les fabricants rappellent les véhicules pour réparer les défauts. » Pour Yavor Gueorguiev, il est important de travailler avec des industriels sérieux qui se font auditer régulièrement, qui fournissent des mises à jour ou encore qui communiquent sur leurs failles de sécurité. « Nous sommes inquiets de constater qu’un certain nombre d’objets reste en place dans le réseau alors qu’ils sont obsolètes et donc plus mis à jour », rapporte le porte-parole de Genetec France. En effet, cette chaîne d’approvisionnement peu maîtrisée, voire défaillante, et ces problématiques d’obsolescence des machines représentent aussi un autre défi à relever. Cela dit, les règlements se renforcent. En effet, la future loi CRA (Cyber Resilience Act) bientôt applicable, sans oublier l’adoption de la directive NIS 2 en janvier 2023 par l’Union européenne, qui touche un plus grand nombre de secteurs d’activité et qui est plus stricte en matière de sécurité que NIS 1, vont changer la donne. Les exigences de ces règlements devraient obliger les acteurs concernés à concevoir en pratique des solutions et des produits bien plus sécurisés qu’auparavant et à mettre en place des stratégies de protection plus rigoureuses.
Commentaire