Internet des objets (IoT) et sécurité

Les technologies vont de plus en plus vite et le paysage change aussi.
S’il y a encore deux décennies, on surfait à la vitesse d’un escargot et les sites WEB ne pouvaient comporter que quelques images…. Nous sommes maintenant passés à l’ère du tout connecté.
Dans ce flot de changements, on trouve de nouveaux termes… Internet des objets (IoT en anglais pour Internet Of Thing), objets connectés etc.
Des termes que vous allez de plus en plus voir tellement ces objets deviennent omniprésent au quotidien.
Cela peut aussi poser des problèmes de sécurité.

Tour d’horizon…

internet_des_objets_iot

Qu’est-ce que l’internet des objets

Vous connaissez probablement déjà tout cela, sans l’avoir nommé.
Pour faire simple, l’internet des objets désigne les objets physiques ou réels interconnectés qui sont capables de récupérer et transmettre des informations.
Ces objets ont une identité numérique et peuvent communiquer entre eux.

Voici quelques exemples :

  • En 2005, le lapin Nabaztag a vu le jour, il s’agit d’un objet numérique ayant l’apparence d’un lapin capable de se connecter en Wifi pour lire vos emails à haute voix, jouer de la musique etc.
Le lapin nabaztag est un objet connecté
Le lapin nabaztag est un objet connecté
  • Les montres et bracelets connectés sont aussi des objets connectés puisqu’elles peuvent, par exemple, se connecter en bluetooth pour transmettre des informations à votre SmartPhone, via le service du constructeur et établir un profil utilisateur (nombre de pas, informations sur le sommeil, rythme cardiaque).
  • Votre SmartPhone ou votre tablette sont aussi des objets connectés.
  • Les consoles de jeu.
  • avec l’arrivée Windows 10, votre ordinateur devient, de plus en plus, un objet connecté à travers toutes les remontés vers Microsoft.

Les appareils du quotidien deviennent, eux aussi, des objets connectés à commencer par votre téléviseur mais aussi les appareils liés à la maison : thermostat, détecteurs de fumée, de présence.., les compteurs intelligents et systèmes de sécurité connectés des appareils de type box domotique. Bientôt votre voiture sera connecté en permanence à internet, vous y retrouverez vos services WEB préférés et des remontés d’informations seront effectuées au constructeur avec un aspect sécurité (vitesse etc).
Bien souvent, ce sont des capteurs qui sont ajoutés pour mesurer des informations qui seront envoyés à vous ou à un service tiers.
Dans la finance, avec les paiements par SmartPhone.
Dans la santé aussi, les objets connectés vont être de, plus en plus, utilisés mesure de la glycémie pour les diabétiques, détections de cancer par mesure sanguine etc. etc.

Toutes ces objets nourrissent des bases de données d’information colossales que l’on nomme « Big Data ».

Les prévisions donnent environ 6,5 objets connectés d’ici 2020 :

objet_connecte_prevision_2020

Si on pousse le terme, on peut aussi parler « d’objets non connectés », comme par exemple les passe de métro, à travers leur carte RFID, ils permet à la régie de transport de vous « suivre » et constituer un profil utilisateur.
Même chose avec le télépéage.

Sécurité des objets connectés

Le terrain de jeu pour les cybercriminels s’étend chaque jour.
Les objets connectés posent de multiples problèmes de sécurité :

  • Les technologies utilisées sont jeunes… les vulnérabilités qui vont être découvertes ces prochaines années vont être légion. Il n’est pas non plus dit que l’aspect sécurité ait été pris réellement en compte par certains constructeur en tirant partie de l’expérience des ordinateurs/internet. Cela peut avoir un coup au départ que des constructeurs veulent économiser, même si le retour de bâton risque d’être fatal. Il faudra probablement attendre des scandales comme cela été le cas pour Microsoft et le SP3 de Windows XP, ou encore Java et Adobe Flash.
  • Les objets connectés sont souvent oubliés par les utilisateurs… et même parfois les éditeurs qui publient même pas de mise à jour de sécurité ; Pour les entreprises, c’est un vrai casse tête pour maîtriser les appareils et les données qui peuvent en sortir.
  • Au bout de la chaîne, il reste les masses de données récupérées. Je vous renvoie donc vers cet article : Piratage/Hack massif de comptes en ligne

Malwares et Botnet

Enfin, à côté des piratages de données, il reste le détournement des appareils, comme peut l’être votre ordinateur.
Et là on retrouve les malwares « classiques » (Trojan, Backdoor etc) qui permet de constituer des réseaux de machines zombies (botnet).

2014, dans la section actualité du forum, le post suivant Botnet: Zombies via l’IdO, relais aux attaques informatiques où un réseau zombies d’objet connectés de plus de 100 000 appareils.
Ce dernier était capable d’envoyer 750 000 mails par jour.
Les routeurs ont été particulièrement touchés : Piratages de routeurs en hausse

et dernièrement deux attaques DDoS assez puissantes : Le site de Brian Krebs victime d’une puissante attaque DDoS

L’hébergeur OVH a été touché avec un DDoS non loin des 1Tbps. OVH annonce qu’il s’agit d’un réseau de 145 000 caméras.

ddos_ovh_iot_cameras

L’éditeur de sécurité Sucuri a aussi couvert ces attaques : https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html
La majorité des caméras étant à Taiwan, Indonésie et USA.

Ces attaques sont des à un botnet nommé Mirai.
Depuis l’auteur de l’utilitaire qui a permis de constituer le botnet a été publié (difficile de dire si c’est vrai ou faux).
Au final, ils ‘agit d’un simple outil qui effectue des scans sur internet, en telnet et tentent de se connecter à des IoT avec les droits administrateur : admin / 1234, root / 1234
Ca donne une ampleur des trous béants qui sur ce type d’appareils.
On a vraiment l’impression de revenir dans les années 90.

Collecte de données

Il reste aussi la problématique de la collecte des données… La tentation de collecter de plus en plus de données sur les utilisateurs à des fins statistiques ou pour revendre est grande.
2013, Un téléviseur LG soupçonné de surveiller les téléspectateurs

Les polémiques autour de la sortie de la XBox One, la console étant munie caméra est capable de voir dans le noir, d’extraire des voix humaines dans des environnements bruyants, et même de connaître le rythme cardiaque des joueurs.
De même, avec la « Hello Barbie » capable d’enregistrer toutes les conversations pour les transmettre à un logiciel.

et puis, bien sûr, toutes les polémiques autour de Windows 10.

La CNIL a aussi émis un avis avec les recommandations à suivre…. qui ne le seront probablement pas =)

Lorsque vous utilisez un objet connecté, inspectez la configuration par défaut et notamment les envois de données.

IoT Scanner

Vous pouvez vérifier si votre réseau est connue pour avoir effectué des attaques dues à des objets connectés vulnérables.
=> IoT Scanner

iot-scanner_index

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 389 times, 6 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *