Accueil / Actualité / L’Internet des objets dans l’entreprise : quel danger les appareils « intelligents » présentent-ils pour la sécurité du réseau ?

L’Internet des objets dans l’entreprise : quel danger les appareils « intelligents » présentent-ils pour la sécurité du réseau ?

Les appareils connectés à l’Internet des objets (IoT) compliquent considérablement les problématiques de sécurité liées à la protection des réseaux d’entreprise. Et pourtant, l’adoption de l’Internet des objets dans l’entreprise ne montre aucun signe d’essoufflement.Une récente étude, réalisée par PwC, indique que 71 % des industriels prévoient de déployer des équipements IoT malgré les cyber-risques associés.

Les dispositifs IoT sont exposés au piratage

Commençons par identifier les équipements qui présentent les plus grands risques pour les réseaux d’entreprise.

  1. Imprimantes

L’imprimante est peut-être l’adversaire le plus redoutable.Des chercheurs de NCC Group ont détecté des vulnérabilités et failles concernant six des principaux fabricants d’imprimantes dans le monde : Xerox, HP, Lexmark, Kyocera, Brother et Ricoh.Non seulement leurs équipements sont particulièrement exposés aux attaques par déni de service (DDoS), mais ils peuvent également servir de points d’entrée dans les réseaux d’entreprise, via l’exécution de code à distance et le contournement des couches de sécurité.

Il est important de savoir qu’une imprimante IoT compromise pourrait parfaitement permettre à des hackers d’épierdes travaux d’impression, de s’adresser des copies électroniques de documents ou d’ouvrir une porte dérobée sur un réseau d’entreprise.Les pirates, informésde ces vulnérabilités depuis un certain temps, en ont abusé dans plusieurs campagnes APT.

  1. Caméras de vidéosurveillance

Les caméras IP font office d’équipements de sécurité et sûreté dans de nombreuses entreprises. Cependant,elles peuvent être exploitées pour contourner les mécanismes de sécurité et mettre une entreprise en danger. En septembre 2016, de nombreuses caméras IP ont été infectées par un malware, un botnet majeur. Le célèbre botnetMirai qui a déclenché une attaque DDoSd’une ampleur sans précédentà l’époque, et bien souvent à l’insu des possesseurs des équipements concernés.Mirai a utilisé un script simple détectant les caméras de surveillance à partir d’identifiants paramétrés par défaut qu’il utilisait pour enprendre le contrôle. Depuis, les fabricants du monde entier ont redoublé d’efforts pour renforcer la sécurité de ces appareils. Pour autant, dernièrement, l’association de consommateurs Which? a pu constater que plusieurs modèles de caméras sans fil et de babyphones vidéo, testés par ses soins,contenaient de multiples failles de sécurité susceptibles d’être exploitées par des pirates pour espionnerles employés et détourner ces appareils de leur usage premier.

  1. Assistants personnels

Les assistants personnels comme Alexa et Echo sont de plus en plus populaires à la maison mais aussi en entreprise. Malheureusement, ils se sont également révélés vulnérables aux cyberattaques.Des chercheurs en sécurité sont parvenus à exploiter une faille dans Amazon Echo lors d’une simulationde piratage. Les générations précédentes de cette enceinte connectéesont vulnérables à une ancienne faille Wi-Fi baptisée KRACK , permettant à un hacker de diriger une attaque de type MITM (Man in the Middle) contre un réseau protégé par WPA2.

  1. Accessoires connectés et téléphones mobiles

Si les risques imputables aux téléphones mobiles et à la stratégie « BYOD » ont été reconnus(mais la plupart du temps ignorés par de nombreuses entreprises), ceux provoqués par les accessoires connectés ou wearables, peuvent également se révéler considérables. Bien qu’ils ne stockent aucune donnée (e-mails et fichiers, par exemple), ilspeuvent se connecter à des réseaux d’entreprise et à des postes de travail via une connexion Bluetooth ou Wi-Fi, et les exposerau monde extérieur.

Comment utiliser les appareils IoTpour attaquer l’entreprise ?

Il est intéressant d’examiner les conséquences de tels piratages :

Infiltrer des réseaux d’entreprise

Le plus grand risque pour une entrepriseest queles appareils connectés puissent être utilisés pour accéder à ses réseaux. En outre, ces périphériques, généralement dotés d’une installation Linux minimale avec peu de mémoire vive ou d’espace disque, ne peuvent pas être sécurisés par des dispositifs traditionnels puisqu’il est impossible d’y installer un antivirus ou des solutions de sécurisation des postes de travail.

Par ailleurs, de nombreux outils de gestion et de sécurité du réseau ne détectant pas ces appareils, un dispositif compromis pourrait parfaitement être exploité durablement sur le réseau et détourner les données de l’entreprise à l’extérieur. Pendant près d’un an, un pirate a ainsi échappé aux radars en subtilisant des données via un Raspberry PI connecté au réseau interne du Jet Propulsion Lab de la NASA.

Devenir une cible de rançomwares

Un récent rapport publié par Forrester laisse entendre que les appareils IoT exploités en entreprise pourraientêtre victimes d’attaques ransomware. Plutôt que de verser une rançon en bitcoins en échange du décryptage de leurs fichiers, les entreprises pourraient bien être contraintes de payer les pirates afin de reprendre le contrôle de leurs appareils. Ce scénario d’attaque peut sembler fantaisiste mais si un jour un système de climatisation ou un ascenseur intelligent était immobilisé en échange d’une rançon, cela ne semblerait plus si invraisemblable.

Etre recruté dans unbotnet

Le recrutement d’appareils connectés pour former un botnet, pourrait avoir un impact sur leurs performances, sur leur ergonomie, sur les performances du réseau, et voire même engager la responsabilité de l’entreprise si une faute les conduisaità participer à une attaque par déni de service.

Piller les ressources par cryptojacking

De la même manière, un appareil qui exploite des cryptomonnaies utilisera davantage de ressources (puissance, bande passante), ce qui peut êtrepréjudiciable pour les performancesde l’appareil en question et du réseau dans son ensemble.

Faciliter les fuites de données personnelles et professionnelles

Mais les appareils connectés présentent également un risque en termes de protection de la vie privée. Une récente étude révèle que 65 % des personnes interrogées se disent préoccupés par la manière dont les appareils connectés collectent leurs données, tandis qu’ils sont 55 % à ne pas leur faire confiance pourprotéger leur vie privée. Par ailleurs, 63% des répondants sont effrayés à l’idée qu’il y aitplusieurs dizaines de milliardsd’appareils IoT à travers le monde.Une réaction qui n’estguère surprenante, quand on regarde les nombreux exemples d’appareils qui ont enregistré leurs propriétaires à leur insu ou sans leur consentement.

Un appareil IoT peut divulguer plusieurs types de données: le statut de l’appareil, son identifiant et les informations personnelles communiquées par l’utilisateur, les données des capteurs comme les enregistrements audio ou la vidéosurveillance, et les données d’interaction (date, lieu et modalités d’activation de l’appareil).

Comment protéger l’entreprise contre des appareils IoT ?

L’acquisition d’appareils connectés doit toujours être effectuée avec le plus grand soin. Il faut s’assurer que le fabricant n’utilise pas de mots de passe administrateur codés « en dur », et que l’appareil n’exfiltre pas de données risquant d’enfreindre la charte de sécurité et de confidentialité de l’entreprise. Il est également important d’évaluer l’historique des fabricants en matière de mises à jour des micrologiciels (firmware) fournis, et de choisir celui qui sera le plus responsable et le plus consciencieux en termes de sécurité.

Au moment de l’achat, il faut prendre soin de modifier tous les mots de passe paramétrés par défaut sur l’appareil IoT afin de le rendre imperméable aux attaques simples de type dictionnaire par forcebrute telles que celles utilisées par Mirai et des botnets IoT similaires.

Il est également essentiel de se renseigner auprès du fabricant ou du fournisseur sur les procédures de notification adoptées concernant les mises à jour du firmwareet enfin de mettre en place les processus indispensables à l’application de correctifs dès réception de la première notification de mise à jour.

La sécurisation d’appareils IoTsuppose également de mettre hors-service les équipements usagés et obsolètes. Ceux pouvant contenir des données sensibles sur un réseau ou une entreprise, doivent donc être éliminés avec précaution.Dans le cadre d’une expérience, des chercheurs ont effectué une ingénierie inverse sur une ampoule « intelligente » usagée et ont pu récupérer la clé WPA2 du réseau auquel elle avait été connectée ainsi que le certificat racine et la clé privée RSA codée en dur par son fabricant.

Enfin, il faut vérifier que le fabricant propose bien un moyen de réinitialiser les paramètres usine de l’appareil ou d’effacer les données stockées, et s’assurer de se débarrasser des appareils IoT superflus.

Fred Bénichou Directeur Europe du Sud de SentinelOne

A voir

Alibaba Cloud lance des solutions IA pour numériser les évènements sportifs

Les technologies du cloud révolutionnent le divertissement sportif en apportant de nouvelles expériences aux fans, aux organisateurs et aux diffuseurs.