Menu Fermer

Internet des objets (IoT) et sécurité

Les technologies vont de plus en plus vite et le paysage change aussi.
S’il y a encore deux décennies, on surfait à la vitesse d’un escargot et les sites WEB ne pouvaient comporter que quelques images.
Nous sommes maintenant passés à l’ère du tout connecté.

Dans ce flot de changements, on trouve de nouveaux termes.
Par exemple l’Internet des objets (IoT en anglais pour Internet Of Thing), objets connectés etc.
Des termes que vous allez de plus en plus voir tellement ces objets deviennent omniprésent au quotidien.
Cela peut aussi poser des problèmes de sécurité.

Tour d’horizon de l’internet des objets.

Internet des objets (IoT) et sécurité

Qu’est-ce que l’internet des objets

Vous connaissez probablement déjà tout cela, sans l’avoir nommé.
Pour faire simple, l’internet des objets désigne les objets physiques ou réels interconnectés qui sont capables de récupérer et transmettre des informations.
Ces objets ont une identité numérique et peuvent communiquer entre eux.

Exemple d’objets connectés

Voici quelques exemples :

  • En 2005, le lapin Nabaztag a vu le jour, il s’agit d’un objet numérique ayant l’apparence d’un lapin capable de se connecter en Wifi pour lire vos emails à haute voix, jouer de la musique etc.
Le lapin nabaztag est un objet connecté
Le lapin nabaztag est un objet connecté
  • Les montres et bracelets connectés sont aussi des objets connectés puisqu’elles peuvent. Par exemple, se connecter en bluetooth pour transmettre des informations à votre SmartPhone, via le service du constructeur et établir un profil utilisateur (nombre de pas, informations sur le sommeil, rythme cardiaque).
  • On considère aussi votre SmartPhone ou votre tablette comme des objets connectés.
  • Les consoles de jeu.
  • avec l’arrivée Windows 10, votre ordinateur devient, de plus en plus, un objet connecté à travers toutes les remontés vers Microsoft.

Les appareils du quotidien deviennent, eux aussi, des objets connectés à commencer par votre téléviseur mais aussi les appareils liés à la maison : thermostat, détecteurs de fumée, de présence.., les compteurs intelligents et systèmes de sécurité connectés des appareils de type box domotique.
Bientôt ce sera le tour de votre voiture.
Vous pourrez y utiliser vos services WEB préférés avec des remontés d’informations au constructeur avec un aspect sécurité (vitesse etc).

Bien souvent, cela fonctionne avec des capteurs pour obtenir des données.
On peut alors les envoyer à des serveurs.
Dans la finance, avec les paiements par SmartPhone.
Dans la santé aussi, les objets connectés vont être de, plus en plus, utilisés mesure de la glycémie pour les diabétiques, détections de cancer par mesure sanguine etc. etc.

Le Big Data

Toutes ces objets nourrissent des bases de données d’information colossales que l’on nomme “Big Data”.

Les prévisions donnent environ 6,5 objets connectés d’ici 2020 :

Internet des objets (IoT) et sécurité

Si on pousse le terme, on peut aussi parler “d’objets non connectés”.
Comme par exemple les passe de métro, à travers leur carte RFID.
Ils permettent à la régie de transport de vous “suivre” et constituer un profil utilisateur.
Même chose avec le télépéage.

Sécurité des objets connectés

Le terrain de jeu pour les cybercriminels s’étend chaque jour.
Les objets connectés posent de multiples problèmes de sécurité :

  • Les technologies utilisées sont jeunes. Les vulnérabilités qui vont être découvertes ces prochaines années vont être légion. Il n’est pas non plus dit que l’aspect sécurité ait été pris réellement en compte par certains constructeur en tirant partie de l’expérience des ordinateurs et internet. Cela peut avoir un coup au départ que des constructeurs veulent économiser, même si le retour de bâton risque d’être fatal. Il faudra probablement attendre des scandales comme cela été le cas pour Microsoft et le SP3 de Windows XP, ou encore Java et Adobe Flash.
  • Les utilisateurs oublis souvent ces objets connectés. Parfois même les éditeurs ne publient pas de mise à jour de sécurité. Pour les entreprises, c’est un vrai casse tête pour maîtriser les appareils et les données qui peuvent en sortir.
  • Au bout de la chaîne, il reste les masses de données récupérées. Je vous renvoie donc vers cet article : Piratage/Hack massif de comptes en ligne

Malwares et Botnet

Enfin, à côté des piratages de données, il reste le détournement des appareils, comme peut l’être votre ordinateur.
Et là on retrouve les malwares “classiques” (Trojan, Backdoor etc) qui permet de constituer des réseaux de machines zombies (botnet).

2014, dans la section actualité du forum, le post suivant Botnet: Zombies via l’IdO, relais aux attaques informatiques où un réseau zombies d’objet connectés de plus de 100 000 appareils.
Ce dernier était capable d’envoyer 750 000 mails par jour.
Les routeurs ont été particulièrement touchés : Piratages de routeurs en hausse

Attaques DDoS

Dernièrement deux attaques DDoS assez puissantes : Le site de Brian Krebs victime d’une puissante attaque DDoS

L’hébergeur OVH a été touché avec un DDoS non loin des 1Tbps. OVH annonce qu’il s’agit d’un réseau de 145 000 caméras.

IoT piratages, botnet et attaques DDoS

L’éditeur de sécurité Sucuri a aussi couvert ces attaques : Large CCTV Botnet Leveraged in DDoS Attacks
La majorité des caméras étant à Taiwan, Indonésie et USA.

Ces attaques sont des à un botnet nommé Mirai.
Depuis l’auteur de l’utilitaire qui a permis de constituer le botnet a été publié (difficile de dire si c’est vrai ou faux).
Au final, ils ‘agit d’un simple outil qui effectue des scans sur internet en telnet.
Ils tentent de se connecter à des IoT avec les droits administrateur : admin / 1234, root / 1234
Ca donne une ampleur des trous béants qui sur ce type d’appareils.
On a vraiment l’impression de revenir dans les années 90.
Il s’agit donc d’attaque par Bruteforce.

Collecte de données

Il reste aussi la problématique de la collecte des données.
La tentation de collecter de plus en plus de données sur les utilisateurs à des fins statistiques ou pour revendre est grande.
2013, Un téléviseur LG soupçonné de surveiller les téléspectateurs

Les polémiques autour de la sortie de la XBox One, la console étant munie caméra est capable de voir dans le noir, d’extraire des voix humaines dans des environnements bruyants, et même de connaître le rythme cardiaque des joueurs.
De même, avec la “Hello Barbie” capable d’enregistrer toutes les conversations pour les transmettre à un logiciel.

et puis, bien sûr, toutes les polémiques autour de Windows 10.

La CNIL a aussi émis un avis avec les recommandations à suivre…. qui ne le seront probablement pas =)

Lorsque vous utilisez un objet connecté, inspectez la configuration par défaut et notamment les envois de données.

IoT Scanner

Vous pouvez vérifier si votre réseau est connue pour avoir effectué des attaques dues à des objets connectés vulnérables.
=> IoT Scanner

iot-scanner_index

Sécuriser son routeur contre les piratages

Notre article qui explique comment sécuriser son routeur : Comment sécuriser son routeur contre les piratages