Comment l'IOT impacte le domaine de la sécurité

Avec plus de 7 milliards d’appareils IoT en circulation, les IoT sont devenus une cible privilégiée pour les cybercriminels. A tel point que le taux de réussite des attaques de logiciels malveillants commence à soulever des questions.

À ce jour, l’attaque la plus médiatisée est celle du malware Mirai fin 2016, qui est parvenue à transformer des milliers d’appareils IoT basés sur Linux en une armée de botnets qui a ensuite été utilisée pour lancer une série d’attaques DdoS (Distributed Denial of Service, déni de service distribué).

Plus récemment, des experts en cybersécurité ont découvert une quantité croissante de logiciels malveillants utilisés pour miner de la crypto monnaie montrant que les cybercriminels explorent différentes possibilités d’exploiter les appareils IoT à des fins lucratives.

Une nouvelle espèce de logiciels malveillants

La simplicité de la plupart des appareils IoT a forcé les cybercriminels à repenser leur approche. En réalité, en raison de leur nature, très peu d’appareils IoT stockent des quantités importantes de données sensibles. Cela rend donc les attaques traditionnelles par ransomwares obsolètes.
 
C’est pourquoi, l’attention s’est tournée vers la manière dont les logiciels malveillants peuvent être utilisés pour asservir les dispositifs IoT (comme c’était le cas pour Mirai), en bloquer l’accès aux utilisateurs, ou pour empêcher les appareils de remplir leur mission initiale.
 
Cet objectif peut sembler assez inoffensif mais si on pense aux appareils IoT qui sont désormais utilisés en tant que pacemakers ou pour contrôler les doses de médicaments de patients hospitalisés, les conséquences peuvent être dramatiques.

Le passé de l’IoT responsable de ses problèmes actuels

Avec l’explosion de la popularité de l’IoT, les fabricants et les vendeurs ont accéléré la commercialisation de nouveaux produits et inondé le marché. Malheureusement, pour beaucoup d’entre eux, la sécurité des appareils se trouvait tout en bas des priorités, et a souvent été traitée comme un détail secondaire.
 
Par conséquent, la grande majorité des appareils IoT aujourd’hui en circulation utilisent des identifiants et mots de passe de connexion par défaut, possèdent des configurations et protocoles non sécurisés et sont notoirement difficiles à mettre à niveau. En résumé, ils sont bien trop faciles à pirater.
 
Vient s’ajouter à cela, l’émergence des piratages de protocoles de bas niveau comme KRACK qui crée de nouveaux moyens de compromettre l’infrastructure de l’IoT et d’injecter ou de manipuler des données. Les conséquences sont graves pour les appareils qui se synchronisent ou reçoivent des messages de contrôle depuis une application Cloud.

La sécurité mise au centre des préoccupations

Face à cette menace croissante, les fabricants et les vendeurs doivent se réveiller et commencer à mettre en œuvre des mesures de sécurité plus robustes sur tous les appareils IoT, en se concentrant sur trois domaines essentiels :
 
Adoption des normes de sécurité logicielle modernes : tout nouvel appareil arrivant sur le marché doit adhérer strictement aux pratiques de sécurité actuelles, comme la protection intégrée des mots de passe qui force les utilisateurs à changer le mot de passe par défaut après achat. Les nouveaux appareils doivent également inclure une assistance logicielle après-vente et la possibilité d’appliquer des correctifs ou des mises à niveau à distance si nécessaire, assurant la durabilité de la sécurité contre de nouvelles formes de logiciels malveillants.
 
Construction d’un matériel robuste et inviolable : la sécurité physique est aussi une préoccupation essentielle pour les nouveaux appareils. Des choses simples, comme l’ajout d’interrupteurs permettant aux utilisateurs de désactiver des fonctions non utilisées (par exemple un bouton pour désactiver le micro et prévenir contre l’écoute illicite). L’intégration de mesures d’inviolabilité lors de la conception du matériel est également une garantie pour empêcher quiconque ayant un accès direct à l’appareil de le compromettre ou de décoder ses informations sans autorisation.
 
Utilisation de protocoles réseau sécurisés : des protocoles sécurisés comme HTTPS doivent être mis en place pour tout échange de données entre les appareils IoT et la gestion en backend ou les solutions de stockage. Il est également nécessaire d’utiliser des méthodes d’authentification robustes pour empêcher tout accès frauduleux.
 
Pendant de trop nombreuses années, les vendeurs et fabricants d’appareils IoT ont ignoré les conventions de sécurité dans leur empressement à commercialiser de nouveaux produits.La multiplication des logiciels malveillants cherchant à exploiter ces vulnérabilités est le résultat direct de ces décisions. Malheureusement, ce sont les clients qui en pâtissent.
 
Bien qu’il soit impossible de revenir en arrière pour améliorer la sécurité des millions d’appareils IoT déjà en circulation, une meilleure mise en œuvre des pratiques de sécurité sur les nouveaux appareils contribuera considérablement à réduire l’ampleur du problème.Au fur et à mesure que les anciens appareils moins sécurisés atteindront la fin de leur cycle de vie, nous devrions voir la sécurité de l’IoT s’améliorer de façon globale.

Mentions légales

Informations générales

  • Dénomination ou raison sociale : Umantic
  • Adresse et numéro de téléphone du siège social : 22 rue d'Aumale, 75009 Paris - FRANCE - Tél.+33 (0)1 55 06 11 91
  • Inscription RCS ou chambre des métiers : RCS PARIS B 509 081 006
  • Directeur de la publication : Jean-Philippe COUESPEL DU MESNIL, DP

Hébergement et réalisation du site

Droits de propriété intellectuelle et industrielle

La structure générale, ainsi que les logiciels, textes, images, informations, documents, services et tout autre élément composant ce site sont protégés notamment au titre du droit d'auteur par les dispositions du Code de la Propriété Intellectuelle ou toute autre réglementation relative à la propriété intellectuelle. Toute représentation et/ou reproduction totale ou partielle de ce site (ou de l'un quelconque des éléments qui le composent) par quelque procédé que ce soit, sans l'autorisation expresse préalable de Umantic est interdite et peut constituer un acte de contrefaçon pénalement sanctionné.Tous documents téléchargeables sont également protégés par le droit d'auteur, leur utilisation est limitée à la seule prestation de service assurée par l'éditeur via le site www.umantic.fr Egalement, les marques et/ou logos figurant sur ce site sont des marques déposées et/ou des créations protégées, propriété exclusive de Umantic.Toute reproduction ou représentation totale ou partielle de ces marques et/ou de ces logos, sans l'autorisation expresse préalable de l'éditeur est interdite et peut constituer un acte de contrefaçon pénalement sanctionné.

Protection des informations

Google Analytics utilise des cookies, qui sont des fichiers texte placés sur votre ordinateur, pour aider le site internet à analyser l'utilisation du site par ses utilisateurs.Les données générées par les cookies concernant votre utilisation du site (y compris votre adresse IP) seront transmises et stockées par Google sur des serveurs situés aux Etats-Unis.Google utilisera cette information dans le but d'évaluer votre utilisation du site, de compiler des rapports sur l'activité du site à destination de son éditeur et de fournir d'autres services relatifs à l'activité du site et à l'utilisation d'Internet.Google est susceptible de communiquer ces données à des tiers en cas d'obligation légale ou lorsque ces tiers traitent ces données pour le compte de Google, y compris notamment l'éditeur de ce site.Google ne recoupera pas votre adresse IP avec toute autre donnée détenue par Google.Vous pouvez désactiver l'utilisation de cookies en sélectionnant les paramètres appropriés de votre navigateur. Cependant, une telle désactivation pourrait empêcher l'utilisation de certaines fonctionnalités de ce site.En utilisant ce site internet, vous consentez expressément au traitement de vos données nominatives par Google dans les conditions et pour les finalités décrites ci-dessus.

Informatique et liberté | Données Personnelles

L’utilisateur est informé que les informations qu’il communique par les formulaires présents sur le site d’Umantic groupe QUODAGIS sont nécessaires pour répondre à sa demande et sont destinées aux services en charge de répondre à sa demande à des fins de suivi de cette demande. Les informations recueillies font également l’objet d’un traitement destiné à communiquer sur des évènements, des offres promotionnelles, des actualités ou tout autre document de communication. Vos données ne sont pas partagées avec des tiers.
Conformément aux articles 38, 39, 40, 41 et 42 de la loi Informatique et liberté du 6 janvier 1978, chaque utilisateur ayant déposé des informations nominatives le concernant sur le site, dispose des droits d'opposition, d'accès et de rectification de ces données. Ainsi, il peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte ou l'utilisation, la communication ou la conservation est interdite. Chaque utilisateur peut exercer ses droits en écrivant à Umantic groupe QUODAGIS, 64 rue de Miromesnil, 75008 PARIS - FRANCE.