05 Déc. 19 Cybersécurité
Comment tester le niveau de sécurité des IoT ?
L’évolution du monde numérique nous procure des facilités par l’utilisation d’objets connectés qui nous simplifient la vie et améliore les compétences des entreprises. Ces objets connectés, ou IoT pour Internet of Things, se déploient à grande vitesse. Mais ces objets sont également porteurs de dangers car connectés au réseau de l’entreprise, et en général sans avoir de contrôle sur ces accès. Pour reprendre la main sur les connexions et les informations utilisées par ces objets et protéger l’infrastructure de l’entreprise, la seule solution est de procéder à un audit de votre IoT. Il vous permettra de tester le niveau de sécurité des IoT qui vous entourent.
Qu’est-ce que l’IoT ?
L’IOT, ou internet des objets, est un équipement informatique qui n’a pas d’interface humaine, c’est-à-dire qui n’a pas de clavier, d’écran ou une souris, mais qui possède un système d’exploitation qui se connecte au réseau et à internet. Ce mot-valise représente donc tous les objets qui se connectent à internet mais qui ne sont pas vraiment des ordinateurs. De la salière qui diffuse de la musique, au thermostat du chauffage ou de la piscine, en passant par la montre connectée pour le jogging et la caméra de sécurité, on trouve aujourd’hui un grand nombre de ces objets qui traitent des données et se connectent à internet.
L’IoT et la sécurité ?
Une boutade qui circule sur internet énonce que dans « IoT », le S correspond à Security. Mais il n’y a pas de S, et il n’y a pas beaucoup de sécurité non plus. Ce problème de sécurité est également mis en avant par Mikko Hypponen, responsable technique de FSecure : « quand on décrit un objet comme étant « smart », c’est qu’il est vulnérable ». La « smart »-salière ou le « smart »-aquarium que vous pouvez trouver sur internet sont donc vulnérables à des failles de sécurité. En 2018, un casino s’est fait pirater à cause du thermomètre connecté d’un de ses aquariums. Par ce biais, le hacker a réussi à accéder à son réseau internet et s’est emparé des données confidentielles stockées dans les serveurs de l’établissement.
Déroulement d’un audit de sécurité des IoT
L’audit d’IoT se déploie en quatre phases.
1.
L’auditeur s’intéresse tout d’abord à la « sensibilité » du constructeur
Lors de cette recherche passive, il s’intéresse à l’entreprise qui fabrique cet objet : ses équipements ont-ils un système pour se mettre à jour, existe-t-il un moyen de contacter le constructeur si l’on trouve une faille de sécurité, a-t-il déjà publié des vulnérabilités, quelle est sa politique de mise à jour et de suivi de ses produits, etc. Il est important que l’éditeur ait une réelle politique de mises à jour car sinon, à partir du moment où une faille a été détectée, soit vous jetez votre équipement, soit vous gardez une épée de Damoclès au-dessus de vous car votre objet sera toujours source de risque.
2.
puis il lance une recherche de vulnérabilités
Les objets IoT sont des systèmes informatiques qui ne sont jamais re-développés de zéro. Il suffit donc de rechercher les briques applicatives utilisées pour vérifier les vulnérabilités associées déjà connues. Par exemple, un auditeur va vérifier si un objet est développé sur un système à base Linux, si oui quelles sont les bibliothèques utilisées, est-ce qu’on peut extraire le firmware, est ce qu’on peut étudier les connexions réseau, les connexions réseau sont-elles chiffrées, etc.
3.
il exploite les vulnérabilités trouvées
L’auditeur vérifie s’il peut exécuter des commandes sur l’IoT, s’il peut prendre la main sur l’IoT, s’il peut extraire des données, des mots de passe, des secrets, etc. qui seraient codés en dur dans l’IoT, ou des données enregistrées, etc. Si on prend l’exemple de la caméra, peut-on extraire ou modifier les images sauvegardées par la caméra ? Peut-on s’en servir comme rebond éventuel ?
Toutes les vulnérabilités de l’objet vont être testées et exploitées.
4.
enfin il rédige une évaluation et un rapport.
Chaque vulnérabilité est prise en compte dans le domaine ciblé et l’auditeur y adjoint la préconisation associée pour combler la faille et vous permettre de ne plus être impacté par cette vulnérabilité. Puis l’auditeur présente et explique son rapport dans une restitution adaptée.
Quels sont les bénéfices d’un audit IoT ?
Bien souvent, en évoquant l’infrastructure informatique, on pense aux serveurs, aux machines, aux ordinateurs portables, aux switchs et aux firewall, etc. Mais beaucoup d’autres éléments font également partie de votre infrastructure, comme le Wifi, les smartphones et leurs applications, et les objets connectés.
L’audit IoT représente donc une photographie à l’instant T du niveau de sécurité de cette partie d’infrastructure en dehors de l’IT.
L’audit vous permet alors d’obtenir une liste des vulnérabilités détaillées, triées par importance de criticité, et avec les préconisations associées.
La sécurité à long terme : adopter une démarche sécuritaire
En revanche, l’audit n’est pas la garantie que vous ne serez jamais piratés ! Il ne doit pas être une fin en soi, mais le point de départ d’un comportement plus conscient et sécuritaire. Il permet de prendre conscience que l’IoT est un vecteur de vulnérabilité important, que tous ces objets qui communiquent avec vos données, avec vos serveurs, doivent être pris en compte dans votre plan de sécurité. Un audit de sécurité des IoT qui vous entourent pratiqué régulièrement vous permettra de garantir le niveau de sécurité nécessaire à la protection de votre infrastructure.
L’audit doit alors entrer dans un cycle et un processus de sécurisation : il est fait de manière objective et impartiale dans le but d’améliorer votre niveau de sécurité. Il a pour but de dévoiler les portes d’entrées inconnues, car connaitre ses points faibles permet de les corriger.
Les bénéfices d’un audit IoT sont donc majeurs pour les entreprises. La connaissance de son infrastructure hors IT n’est pas toujours limpide, et le fait de connaitre ses faiblesses et ses points d’entrée permettra de prendre les choses en main et d’y remédier. Pour limiter au maximum les possibilités d’intrusion, la seule solution est d’apprendre à avoir un comportement plus sain. Grâce à cela, vous pourrez anticiper la menace avant que l’incident ne survienne.
Pour mettre en place votre « Plan Sécurité »
et tester vos IoT :
Plus d’informations sur les audits Certilience :
Plus d’informations sur la solution de protection
Surveillance Cybersécurité :