La sécurité des objets connectés en quatre questions

La sécurité des objets connectés en quatre questions


Miraï, Blueborne ou encore très récemment IoTroop, nombreuses sont les attaques informatiques ou les vulnérabilités liées aux objets connectés. Ces attaques ont provoqué des indisponibilités de services, de l’espionnage des utilisateurs et même la destruction du matériel. Nous allons tenter de déterminer dans cet article comment cela a été possible, les risques qui en découlent et la manière de s’en protéger.


Quels types de failles existent sur les objets connectés ?


64x64

Les objets connectés sont en pleine émergence et se développent de manière exponentielle. Par nécessité de coût, certains constructeurs privilégient parfois la rapidité de mise sur le marché au détriment de la sécurité. Les principales failles que l’on retrouve sur ces objets sont :


  • Défauts d’authentification : certains objets connectés reçoivent un mécanisme d’authentification dès leur sortie d’usine. Cependant les identifiants de chaque constructeur sont connus et restent inchangés durant toute la durée de vie de l’objet.

  • Défauts de chiffrement : il arrive que certains périphériques stockent les données qu’ils collectent directement sur la mémoire interne et même parfois sans chiffrement.

  • Défauts de cloisonnement : certains protocoles cloud permettent à un utilisateur de lire et de modifier les informations d’autres utilisateurs.


En quoi peuvent-ils-nous impacter ?


Les objets connectés peuvent sembler inoffensifs de par la nature de leur utilisation : domotique, santé, transport, loisir, etc. Cependant, ils n’en restent pas moins des périphériques connectés à internet et pilotables à distance. Dès lors, plusieurs risques peuvent apparaître :

  • Enjeux liés à la donnée : nous savons que les données collectées sur un utilisateur peuvent être monnayées, car elles représentent une information précieuse dans la commercialisation des données utilisateurs (ciblage publicitaire). Ainsi, le vol de données peut rapporter de l’argent à un attaquant pouvant obtenir des informations personnelles.

  • Confidentialité/Intégrité : certains objets connectés collectent des informations encore plus personnelles (données de santé, géolocalisation, etc.) qui peuvent être utilisées contre les utilisateurs. De plus, un accès obtenu sur un objet connecté à votre réseau local permettrait à un attaquant d’intercepter vos données.

  • Destruction/Sabotage : certaines attaques peuvent permettre de détruire des objets connectés en modifiant des fichiers afin de corrompre leur système d’exploitation.

  • Détournements pour d’autres attaques : très récemment, le botnet Miraï a permis d’effectuer des attaques de type « déni de service distribué » (DDoS) sur différentes cibles. Les attaquants ont utilisé des milliers d’objets connectés piratés afin de rediriger l’ensemble de leur trafic vers une cible dans le but de la rendre indisponible.


Comment tester la sécurité des objets connectés ?


Les tests de sécurité des objets connectés dépendent principalement de leur fonctionnement. Chaque objet est différent et possède ses propres spécificités : protocole de communication, système d’exploitation, type de matériel, stockage de l’information, etc.




Il n’existe pas de méthode standard étant donné que les tests à effectuer doivent être adaptés au type de périphérique concerné. Cependant, cela ouvre des alternatives en matière de tests, par exemple les attaques sur les circuits électroniques de l’objet : récupération et analyse du firmware (le système d’exploitation/l’intelligence de l’objet), interception des communications, obtention de droits privilégiés à partir de ports de débogage.

De plus, il est aussi nécessaire de tester les infrastructures avec lesquelles le périphérique communique afin de valider de bout en bout la sécurité de la communication. Chez SSL247®, nous disposons d’ingénieurs spécialisés dans le domaine, capable d’effectuer des tentatives d’intrusion sur chaque infrastructure liée aux objets connectés et même de dérouler des attaques physiques sur les objets.


Que nous réserve l’avenir ?


D’ici 2020, c’est entre 50 et 80 milliards d’objets connectés (selon Idate et Gartner) qui seront en circulation dans le monde. Cela représente autant de surfaces d’attaque potentielles par lesquelles un attaquant pourra s’introduire dans le système d’information d’une entreprise.

Si l’idée de se faire pirater par sa propre ampoule connectée paraissait folle il y a encore quelques mois, cela paraît beaucoup plus vraisemblable de nos jours. Il ne faut pas chercher loin pour trouver des exemples d’objets connectés ayant servi de proxy pour des activités illicites.

Si vous avez acheté des objets connectés pour votre entreprise ou que vous développez des solutions liées au monde de l’internet des objets, nous vous donnons la possibilité d’effectuer un audit de sécurité de votre entreprise avec nos différentes offres de tests d’intrusion.


En savoir plus sur nos prestations :



60x60
Sécurité des objets connectés

En savoir plus


130x90
Red Team


En savoir plus


130x90
Audits de sécurité

En savoir plus


130x90
Ingénierie sociale

En savoir plus

Partager cela:

Posté le Friday 03 November 2017 par Julliette Mugniery

Retourner au blog

Envoyez-nous vos commentaires


Votre commentaire ne sera pas publié. Si vous avez une question, n'oubliez pas d'écrire votre adresse email afin que l'on puisse vous répondre.