Tribune Fortinet : relever le défi de la sécurité de l’Internet des objets

RisquesSécurité
christophe-auberger-fortinet

Avec l’essor des objets connectés, le fait d’assurer la sécurité IT et la protection des données apparaît comme un défi majeur. Une tribune de Christophe Auberger, Directeur Technique de Fortinet (solutions de sécurité IT).

L’Internet des objets suscite légitimement beaucoup de débats, y compris en matière de confidentialité et de sécurité des données.

En fait, le monde passe des communications Machine-to-Machine (M2M) à l’internet of Things (IoT) voire l’Internet of Everythings (c’est à dire qu’au-delà des objets, on pense aux données, aux processus voire aux gens connectés).

Cette évolution est induite par trois moteurs : la prolifération des objets connectés, la croissance exponentielle des applications multi-plateformes, et la maturité des technologies réseau capables de connecter des milliards de dispositifs, de manière économique et sans efforts.

L’IoT est source de nombreux avantages, avec notamment une visibilité et une veille en temps réel, une disponibilité 24/7, une automatisation des processus, davantage de praticité, ainsi que la maîtrise des coûts.

Les entreprises, les administrations et le grand public : tout le monde peut tirer parti de cette évolution.

Les opportunités de marché sont nombreuses. Le cabinet d’études Gartner estime que les fournisseurs de produits et de services liés à l’IoT vont pouvoir générer un chiffre d’affaires supplémentaire de plus 300 milliards de dollars US en 2020, tandis que le nombre de ces objets connectés est estimé à plus  de 26 milliards à cet horizon.

De son côté, IDC table sur une croissance du marché mondial des solutions IoT de 1900 milliards de dollars US en 2013 à 7100 milliards en 2020.

Les pertes de données via les objets connectés : une menace pour les entreprises

L’IoT va transformer nos processus au quotidien, qu’il s’agisse de nos communications avec les autres, de nos méthodes de collaboration ou encore de nos transactions. De nombreux services novateurs seront également créés autour de l’IoT.

Le revers de la médaille : les risques de sécurité

En premier lieu, la migration d’informations et d’activités vers le cloud rend l’IoT plus vulnérable au piratage. En effet, le réseau est davantage exposé avec l’introduction d’objets connectés, tandis que le logiciel associé à leur fonctionnement est souvent peu sécurisé et plus vulnérable.

À l’heure où le grand public et les salariés s’attendent à ce que les entreprises protègent leurs données personnelles, ces vulnérabilités peuvent porter à de lourdes conséquences.

Les entreprises ont aujourd’hui pour responsabilité de protéger leurs ressources corporate, mais également les informations de leurs clients et de leurs salariés : éléments de rémunération, historique de recherche et d’achat de produits, et autres données sensibles.

Cette évolution s’opère à l’échelle mondiale, de la simple protection des clients contre l’utilisation frauduleuse de leur carte bancaire vers une protection exhaustive des informations personnelles. Ces responsabilités doivent être tenues par les entreprises pour éviter qu’elles ne se mettent en péril.

Dans une récente enquête sur l’IoT menée par Fortinet*, 62% des personnes interrogées affirment qu’ils se sentiraient outragés et particulièrement en colère – jusqu’à prendre des mesures – si elles apprenaient qu’un objet connecté personnel collectait secrètement des informations les concernant pour les transmettre à un tiers.

D’autre part, si un dispositif connecté identifié recueille des données, 66% des répondants insistent sur le fait que l’accès à ces données soit limité à eux ou à des tiers dûment autorisés par leurs soins.

Des objets connectés facile à pirater

Les objets de l’IoT sont simples à pirater : ils utilisent en effet de nombreux modules et bibliothèques communes, souvent issus de l’open source. Ils ont également tendance à utiliser les protocoles les plus récents tels qu’UPnP (Universal Plug n Play), susceptibles de présenter davantage de défauts que les protocoles plus matures.

D’autre part, les fabricants d’objets connectés ne donnent pas forcément la priorité à la sécurité lorsqu’ils les conçoivent, et ne disposent pas de mécanismes de réponse en cas de piratage de leurs équipements.

Les principaux éditeurs de logiciels, tels que Microsoft et Adobe, sont des cibles historiques d’attaques et ont donc fait de la sécurité un élément essentiel de leur cycle de développement applicatif, avec notamment une mise à disposition fréquente de patchs de sécurité.

Si une vulnérabilité majeure est repérée sur leur logiciel, ce sont des équipes d’urgence dédiées à la sécurité qui prennent en charge rapidement cette problématique.

De plus, ces éditeurs ont intégré de nombreuses mesures de sécurité au cœur de leurs produits, ce qui ne facilite guère la tâche pour les assaillants.

Adobe Reader, par exemple, dispose d’une sandbox pour davantage de résilience face aux attaques.

Les objets connectés sont dépourvus de ces contrôles de sécurité. Ils gagnent en complexité avec le temps qui passe, ce qui devrait faire émerger davantage de bugs de sécurité. Il s’agira, pour l’essentiel, de bugs traditionnels affectant les interfaces Web utilisateurs qui contrôlent les dispositifs IoT.

Pour FortiGuard Labs, la division de Fortinet dédiée à la recherche et veille des menaces, les hackers ont déjà commencé à tester les vulnérabilités de l’IoT. Peu d’attaques ont été menées à ce jour, mais les choses devraient changer dans les mois à venir.

Les équipements IoT constituent ainsi des cibles privilégiées compte tenu de leur faible résistance. D’ailleurs ces hackers le savent : en l’absence d’équipes de sécurité pour gérer les patchs et les problèmes de sécurité de l’IoT, leurs attaques sont susceptibles de réussir.

Si un équipement est connecté, dispose d’un espace de stockage, de ressources mémoire et d’un processeur, il devient un candidat idéal pour les attaques. Notons également qu’un objet connecté va souvent servir d’intermédiaire vers une seconde attaque vers le réseau interne.

L’inspection du réseau pour une sécurité pertinente

Face à la sphère d’attaque importante que présente l’IoT, la sécurité et la gestion des terminaux tendent à se fragmenter. La majorité des objets connectés ne disposent pas d’un antivirus.

D’ailleurs, le déploiement d’un tel outil de sécurité est complexe, face au volume et à la diversité de l’écosystème IoT.

L’inspection du réseau constitue ainsi la seule solution possible pour sécuriser l’IoT. Chaque réseau devra intégrer une appliance de sécurité suffisamment intelligente pour assurer une inspection détaillée des plateformes logicielles de ces objets non conventionnels.

C’est ce que ce nous appelons une inspection multiplateforme, la meilleure option pour faire face aux évolutions de l’IoT.

Pour chaque requête de données, cette appliance doit être capable de répondre à trois questions liées à l’utilisateur : Qui est-il ? Que fait-il ? Quelles sont les données dont il a besoin.

Ceci implique que le réseau intègre des technologies de protection réseau à l’instar d’un pare-feu, d’un système de prévention d’intrusions, d’un filtrage Web et de solutions antimalware qui assurent l’application des règles, contrôlent les applications et préviennent les fuites de données.

De plus, les contenus doivent également être analysés, précisément parce que la surface d’attaque est plus large. En effet, les menaces peuvent se dissimuler un peu partout aujourd’hui, et notamment au sein d’un trafic qui semble à priori légitime.

Avec ces solutions intelligentes, des règles bien définies et des équipes de sécurité IT vigilantes, les entreprises pourront espérer remporter cette bataille de la sécurité de l’IoT, ou, tout du moins, mettre leur entreprise sur un pied d’égalité face aux menaces.

* Etude « L’Internet des objets: la maison connectée » de juin 2014 menée par GMI (une division de Lightspeed Research) auprès d’un échantillon de 1801 personnes (propriétaires immobiliers et technophiles) pour le compte de Fortinet dans les pays suivants: Australie, Chine, France, Allemagne, Inde, Italie, Malaisie, Afrique du Sud, Thaïlande, Royaume-Uni et Etats-Unis.

Lire aussi :