Objets connectés : des cibles sous-protégées

Visuel d'illustration AdobeStock

L’Internet des objets se développe de façon précipitée, au prix d’une cybersécurité lacunaire. Des mesures de prévention existent pour contrecarrer les attaques des pirates.

Internet des objets et sécurité ? Ça ne rime toujours pas, loin s’en faut. Si la prise de conscience des fournisseurs progresse, à en croire leurs déclarations, la cybersécurité n’est pas la priorité. « L’objectif est de livrer au plus vite, constate Philippe Rondel, évangéliste cyber de Check Point, entreprise spécialisée dans les questions de cybersécurité. Dès que le produit est opérationnel, il est mis sur le marché. » Et tant pis s’il présente des vulnérabilités parfois béantes, que le moindre hacker débutant est susceptible d’exploiter.

Car – et c’est le plus inquiétant – ces failles ne sont pas nouvelles. « Les erreurs qu’on observait dans l’informatique il y a vingt ans, résolues depuis, se retrouvent aujourd’hui dans l’IoT, s’étonne Philippe Rondel. Elles sont par exemple liées à l’authentification : des mots de passe codés en dur (non chiffrés et lisibles dans le code du logiciel, ndlr), des certificats numériques laissés à l’identique sur tous les objets, etc. On n’a pas beaucoup appris finalement. » Vieilles méthodes, nouveaux produits – « old hacks, new devices » : le sous-titre du rapport de F-Secure, consacré l’an dernier à ce même sujet d’étude, est explicite. Les objets connectés y sont qualifiés de proies faciles.

Sous-traitants en cascade

Leurs fragilités spécifiques n’arrangent pas la situation. « Ce sont des ordinateurs dont les ressources – puissance du microprocesseur, mémoire – sont faibles, confie Philippe Rondel. Ils hébergent une version épurée de Linux, souvent privée de ses couches de sécurité. Mais plus le logiciel est léger, plus les fournisseurs sont satisfaits. D’autre part, ces mêmes fournisseurs développent rarement leurs objets de A à Z. Ils choisissent un système d’exploitation à gauche, une couche applicative à droite… Ces objets sont le résultat d’un assemblage de briques de Lego, dont les dépendances logicielles présentent un très haut niveau de risque. Le contrôle du produit final est insuffisant. »

« Les erreurs qu’on observait dans l’informatique il y a vingt ans, résolues depuis, se retrouvent aujourd’hui dans l’IoT. »

Philippe Rondel, évangéliste cyber chez Check Point. Photo : DR

Illustration avec des routeurs domestiques déployés en grand nombre et analysés par les chercheurs de Check Point, voici deux ans : les serveurs web intégrés étaient âgés de douze ans. Si le concepteur du logiciel avait depuis corrigé les vulnérabilités, d’anciennes versions étaient installées chez les particuliers. Plusieurs équipementiers partageaient cette même souche logicielle obsolète. La cascade de sous-traitants intervenant dans la boucle favorise de tels manquements.

Les pirates s’en frottent les mains : les attaques contre les équipements IoT auraient été multipliées par 9 entre le premier semestre 2018 et le premier semestre 2019, selon Juniper Research. Quant aux logiciels malveillants (malwares) qui ont l’IoT dans le collimateur, ils prolifèrent. F-Secure en a comptabilisé un seul en 2002, Tsunami, visant des machines Linux comme les routeurs. En 2018, leur nombre s’est élevé à 19.

Un intermédiaire idéal

Mirai, en 2016, a eu un impact mémorable, paralysant le trafic Internet dans une bonne partie de la côte est des Etats-Unis… à partir de caméras de surveillance infectées, entre autres. Cette stratégie prospère chez les hackers : les objets ne sont pas la cible finale, en particulier dans le Smart Home, car l’opération, faute de rentabilité, n’intéresse pas ces groupes qui se professionnalisent. A quoi bon pirater une machine, si ce n’est par plaisir de mettre un peu le bazar ? Le but consiste plutôt à former un «botnet», un réseau composé d’objets infectés, qui servira de vecteur pour des attaques de grande envergure : dénis de service (multiplication des requêtes faites à un serveur jusqu’à saturation, ndlr), campagnes massives de spams…

La suite de cet article est réservée à nos abonnés. Elle est à lire dans SIM N°39 à paraître mi-mars 2020. Il fait partie du dossier de cette édition consacré à la sécurité des objets connectés. Profitez-en pour  vous abonner !