"Internet des Objets : relever le défi de la sécurité", par Christophe Auberger (Fortinet Sophia)
Au cours des années à venir, les entreprises auront à faire face à une généralisation des objets connectés avertit Christophe Auberger. Dans cet "Avis d'expert", le directeur technique de Fortinet (leader mondial sécurité réseaux) à Sophia, explique comment votre entreprise peut prospérer si elle est capable de bien gérer ce qui s’annonce comme un défi majeur…ou voir ses clients et collaborateurs déserter dans le cas contraire. Voici son texte.
L’Internet des Objets, ou IoT pour Internet of Things, est le sujet de nombreux débats depuis déjà pas mal de temps. Ces discussions portent sur les opportunités business qui y sont liées, les avantages pratiques apportés au grand public, et bien sûr, les implications en matière de confidentialité et de sécurité des données. L’IoT s’inscrit dans une migration qui s’opère alors que le monde évolue des communications M2M (Machine-to-Machine) de l’IoT vers l’Internet of Tout ("Internet of Everything", autrement dit, au-delà des objets, données, processus, voire gens connectés). Cette évolution est induite par trois moteurs : la prolifération des objets connectés, la croissance exponentielle des applications multi-plateformes, et la maturité des technologies réseau capables de connecter des milliards de dispositifs, de manière économique et sans efforts.
L’IoT est source de nombreux avantages, avec notamment une visibilité et une veille en temps réel, une disponibilité 24/7, une automatisation des processus, davantage de praticité, ainsi que la maîtrise des coûts. Les entreprises, les administrations et le grand public : tout le monde peut tirer parti de cette évolution.
Les opportunités de marché sont nombreuses. Gartner, par exemple, estime que les fournisseurs de produits et de services liés à l’IoT, vont pouvoir générer un chiffre d’affaires supplémentaire de plus 300 milliards de dollars US en 2020, tandis que le nombre de ces objets connectés est estimé à plus de 26 milliards à cet horizon. De son côté, IDC table sur une croissance du marché mondial des solutions IoT de 1 900 milliards de dollars US en 2013 à 7 100 milliards en 2020.
Les pertes de données via les objets connectés : une menace pour les entreprises
L’IoT va transformer nos processus au quotidien, qu’il s’agisse de nos communications avec les autres, de nos méthodes de collaboration ou encore de nos transactions. De nombreux services novateurs seront également créés autour de l’IoT.
Le revers de la médaille, cependant, est que l’IoT présente des risques de sécurité. En premier lieu, la migration d’informations et d’activités vers le cloud les rend vulnérables au piratage : en effet, le réseau est davantage exposé avec l’introduction d’objets connectés, tandis que le logiciel qui fait fonctionner ces objets est souvent peu sécurisé et plus vulnérable.
À l’heure où le grand public et les salariés s’attendent à ce que les entreprises protègent leurs données personnelles, ces vulnérabilités peuvent porter à de lourdes conséquences. Les entreprises ont aujourd’hui pour responsabilité de protéger leurs ressources "corporate", mais également les informations de leurs clients et de leurs salariés : éléments de rémunération, historique de recherche et d’achat de produits, et autres données sensibles. Cette évolution s’opère à l’échelle mondiale, de la simple protection des clients contre l’utilisation frauduleuse de leur carte bancaire vers une protection exhaustive des informations personnelles. Ces responsabilités doivent être tenues par les entreprises pour éviter qu’elles ne se mettent en péril.
Dans une récente enquête sur l’IoT menée par Fortinet, 62% des personnes interrogées affirment qu’ils se sentiraient outragés et particulièrement en colère - jusqu’à prendre des mesures - si elles apprenaient qu’un objet connecté personnel collectait secrètement des informations les concernant pour les transmettre à un tiers. D’autre part, si un dispositif connecté identifié recueille des données, 66% des répondants insistent sur le fait que l’accès à ces données soit limité à eux ou à des tiers dûment autorisés par leurs soins.
Des objets connectés facilement piratables
Les objets de l’IoT sont simples à pirater : ils utilisent en effet de nombreux modules et bibliothèques communes, souvent issus de l’Open Source. Ils ont également tendance à utiliser les protocoles les plus récents tels qu’UPnP (Universal Plug n Play), susceptibles de présenter davantage de défauts que les protocoles plus matures.
D’autre part, les fabricants d’objets connectés ne donnent pas forcément la priorité à la sécurité lorsqu’ils les conçoivent, et ne disposent pas de mécanismes de réponse en cas de piratage de leurs équipements.
Les principaux éditeurs de logiciels, tels que Microsoft et Adobe, sont des cibles historiques d’attaques et ont donc fait de la sécurité un élément essentiel de leur cycle de développement applicatif, avec notamment une mise à disposition fréquente de patchs de sécurité. Si une vulnérabilité majeure est repérée sur leur logiciel, ce sont des équipes d’urgence dédiées à la sécurité qui prennent en charge rapidement cette problématique.
De plus, ces éditeurs ont intégré de nombreuses mesures de sécurité au cœur de leurs produits, ce qui ne facilite guère la tâche pour les assaillants. Adobe Reader, par exemple, dispose d’une sandbox pour davantage de résilience face aux attaques. Les objets connectés sont dépourvus de ces contrôles de sécurité. Ils gagnent en complexité avec le temps qui passe, ce qui devrait faire émerger davantage de bugs de sécurité. Il s’agira, pour l’essentiel, de bugs traditionnels affectant les interfaces Web utilisateurs qui contrôlent les dispositifs IoT.
Pour FortiGuard Labs, la division de Fortinet dédiée à la recherche et veille des menaces, les hackers ont déjà commencé à tester les vulnérabilités de l’IoT. Peu d’attaques ont été menées à ce jour, mais les choses devraient changer dans les mois à venir. Les équipements IoT constituent ainsi des cibles privilégiées compte tenu de leur faible résistance. D’ailleurs ces hackers le savent : en l’absence d’équipes de sécurité pour gérer les patchs et les problèmes de sécurité de l’IoT, leurs attaques sont susceptibles de réussir. Si un équipement est connecté, dispose d’un espace de stockage, de ressources mémoire et d’un processeur, il devient un candidat idéal pour les attaques. Notons également qu’un objet connecté va souvent servir d’intermédiaire vers une seconde attaque vers le réseau interne.
L’inspection du réseau pour une sécurité pertinente
Face à la surface d’attaque importante que présente l’IoT, la sécurité et la gestion des terminaux tendent à se fragmenter. La majorité des objets connectés ne disposent pas d’un antivirus. D’ailleurs, le déploiement d’un tel outil de sécurité est complexe, face au volume et à la diversité de l’écosystème IoT.
L’inspection du réseau constitue ainsi la seule solution possible pour sécuriser l’IoT. Chaque réseau devra intégrer une appliance de sécurité suffisamment intelligente pour assurer une inspection détaillée des plateformes logicielles de ces objets non conventionnels. C’est ce que ce nous appelons une inspection multiplateforme, la meilleure option pour faire face aux évolutions de l’IoT.
Pour chaque requête de données, cette appliance doit être capable de répondre à trois questions liées à l’utilisateur : qui est-il, que fait-il et quelles sont les données dont il a besoin. Ceci implique que le réseau intègre des technologies de protection réseau à l’instar d’un pare-feu, d’un système de prévention d’intrusions, d’un filtrage Web et de solutions antimalware qui assurent l’application des règles, contrôlent les applications et préviennent les fuites de données. De plus, les contenus doivent également être analysés, précisément parce que la surface d’attaque est plus large. En effet, les menaces peuvent se dissimuler un peu partout aujourd’hui, et notamment au sein d’un trafic qui semble à priori légitime.
Avec ces solutions intelligentes, des règles bien définies et des équipes de sécurité IT vigilantes, les entreprises pourront espérer remporter cette bataille de la sécurité de l’IoT, ou, tout du moins, mettre leur entreprise sur un pied d’égalité face aux menaces.
Christophe Auberger
- Voir les autres avis d'expert de Christophe Auberger : Tag Auberger