Le nombre d’objets connectés devrait passer de 11 milliards en 2018 à plus de 20 milliards en 2020. Ces objets collectent en permanence des volumes importants de données et notamment des données personnelles. En moins de 10 ans nous sommes passés d’une moyenne de 1,84 « device » par personne à 6,58 et le Gartner a prédit une adoption massive de l’IoT dans les entreprises (65% en 2020 contre 30% en 2017). Derrière ces chiffres se cache un risque majeur, celui lié à la sécurité de l’information.
LES RISQUES POUR LA SÉCURITÉ DES DONNÉES
En 2020, 25 % des attaques devraient impliquer des objets connectés. Parmi les nombreuses attaques, deux marqueront l’histoire des objets connectés :
Stuxnet (2010 – 2014) : l’attaque qui ciblait l’usine d’enrichissement d’uranium de Natanz en Iran avait exploité une faille (Zero Day) au niveau des API. Stuxnet aurait détruit plus de 1000 centrifugeuses.
Botnet Mirai (2016) : Mirai est un virus qui a pris le contrôle d’un système vulnérable pour créer un botnet. Les machines infectées (principalement des routeurs et caméras IP) ont orchestré une attaque DDOS sur le DNS Dyn rendant ainsi inaccessibles Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter et bien d’autres.
De récents rapports pointent les défaillances et vulnérabilités des objets connectés. 70% des objets connectés sont vulnérables aux attaques avec une moyenne de 25 vulnérabilités par objet, 80% des objets n’imposent pas de mots de passe avec une complexité et une longueur adéquate, 70% ne chiffrent pas les données au repos ni en transit et 60% des objets contiennent des vulnérabilités relatives à l’UI ou au firmware.
Ce défaut de sécurité s’explique par l’hétérogénéité des systèmes et protocoles qui restent dans la plupart des temps des « protocoles propriétaires », par une sécurité physique insuffisante, et par le fait que les outils et techniques de sécurité classiques peuvent, dans plusieurs cas, être difficilement implémentables dans les objets connectés pour des raisons relatives au hardware et/ou la puissance de calcul limitée.
QUELLE STRATÉGIE ADOPTER POUR PROTÉGER LES DONNÉES ?
La seule solution pour contrer les cyberattaques consiste à prendre en compte la sécurité des dispositifs IoT le plus en amont possible, dès le design. L’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) a publié un référentiel de mesures de sécurité à mettre en place. L’outil permet de filtrer les mesures listées par domaine de sécurité, par menace potentielle et par type de mesure (politiques, mesures organisationnelles et mesures techniques). L’ensemble de ces mesures sont référencées par rapport à des Framework de sécurité reconnus (ISO, CSA, NIST, OWASP, ISACA, etc).
Cet outil permet la mise en place d’une stratégie cyber holistique et sur plusieurs niveaux pour couvrir l’ensemble des risques relatifs à la sécurité des objets connectés.
L’ENISA préconise la mise en place des politiques relatives au Security by design et Privacy by design afin de s’assurer de l’intégration des besoins en matière de sécurité et de protection des données en amont et l’établissement des politiques de gestion des actifs et de gestion des risques pour prendre en compte l’évolution des menaces.
L’agence européenne pointe aussi l’importance de mettre en place une stratégie de gestion de la fin du cycle de vie des produits IoT, de s’assurer de l’usage de solutions approuvées et d’éviter au maximum les protocoles propriétaires. Il faudra aussi mettre en place des procédures de gestion des incidents de sécurité et établir des plans de formation des différents acteurs Une source de risques à ne pas négliger est les tierces parties. Il est d’autant plus important d’encadrer la relation au niveau juridique et de mettre en place une stratégie de gestion des risques relatifs à la chaine de sous-traitance. Le référentiel intègre aussi des mesures de sécurité techniques, à savoir, l’utilisation de « hardware » intégrant des modules de sécurité (ex. coprossesseurs intégrant de la sécurité au niveau des transistors, protection des clés cryptographiques au repos et lors de leurs utilisations, etc). Il préconise la signature du code via des procédés cryptographiques pour assurer son intégrité, le contrôle l’installation de software au niveau OS pour pallier l’installation de tout software non authentifié et la configuration du système de manière à avoir la possibilité de restaurer un état antérieur jugé sécurisé.
Il est primordial d’intégrer les mises à jour OTA (over the air) et de s’assurer que le serveur de mise à jour est sécurisé, que la transmission se fait via un canal sécurisé et que le « update file » ne contient pas de données sensible (ex. identifiant/ mots de passe codés en dur). En mettant en place une rétrocompatibilité au niveau de la mise à jour du firmware, cela permet de garder les anciens paramétrages (au niveau sécurité et privacy) réalisés par l’utilisateur et de le notifier en cas de modification après une mise à jour. Concernant l’authentification, l’ENISA rappelle qu’il faut s’assurer de la modification systématique des mots de passe par défaut lors de la première utilisation et de disposer de mots passes robustes (longueur et complexité adéquates), sur du MFA (authentification à multiples facteurs). Il est important de limiter les accès en s’appuyant sur le principe du moindre privilège, au niveau hardware à travers des concepts d’isolation (limiter l’accès au code sensible). La gestion des accès ne doit surtout pas se limiter à l’accès logique mais elle doit couvrir l’aspect physique et environnemental, notamment à travers la limitation des ports externes (physiques) au strict nécessaire (ex USB).
Il est nécessaire d’assurer la confidentialité, l’authenticité et l’intégrité des données au repos et en transit en implémentant des procédés cryptographiques pertinents. Il faudra aussi choisir des algorithmes de chiffrement robustes et une longueur de clés adéquate, gérer l’ensemble du cycle de vie des clés cryptographiques et s’assurer que le device supporte le chiffrement lightweight.
L’ensemble des échanges doivent être sécurisés notamment à travers l’usage de protocoles standardisés (ex. TLS) ; il faut sécuriser les interfaces et les services réseaux à travers la segmentation du réseau (afin de limiter la propagation des violations de données), la limitation des ports ouverts à ceux strictement nécessaires, l’implémentation de mesures relatives aux interfaces web afin de couvrir les vulnérabilités connues (XSS, CSRF, SQL Injection, etc). Enfin, L’ENISA préconise la mise en place des mesures de validation des entrées (s’assurer de l’intégrité avant leur traitement) et de filtrage des sorties, de mettre en place un système de gestion des journaux et de réaliser de manière régulière des audits (au moins deux audits par an) afin de vérifier le comportement du device et détecter les vulnérabilités.
Les promesses sont très optimistes quant à l’adoption massive des objets connectés. Mais comme toute technologie dotée de logiciels, l’IoT induit un risque de sécurité important, face auquel les entreprises devront mettre en place une stratégie cybersécurité globale et adaptée à leurs contextes.