IoT: du business mais pas de sécurité !

Au dela des discours, qui imposera un réel niveau de sécurité face à la diversité des objets connectés ?

 

cyberisques-news

Novembre 2016 ici un "panneau" piraté et demain ?

un drone de surveillance en plus des webcams ?

Et apres demain ?

 

 

Ce mardi 15 novembre 2016, le petit-déjeuner de l'Observatoire FIC avait pour thème "Botnets et objets connectés : liaisons dangereuses ?"


L'attaque du 21 octobre 2016 a fortement perturbé le fonctionnement d'un certain nombre de services en ligne d'une trentaine de sociétés comme Amazon, Twitter, Paypal, eBay, Airbnb...Elle marque un tournant dans l'histoire des cyberattaques par déni de service distribué (DDoS). L'utilisation d'un botnet s'appuyant sur des objets connectés (145.607 caméras dans ce cas précis) souligne leur fragilité au moment où leur nombre croît de manière exponentielle (20 à 30 milliards en 2020). Par ailleurs, la « security by design » s'impose plus que jamais et sera obligatoire si l'on veut poursuivre le développement des objets connectés et, avec eux des systèmes intelligents.

Damien Cauquil, Expert Sécurité chez Digital Security, nous parle du mode opératoire d’un bot IoT en déroulant les étapes :
1. Scan d’adresses IP à la recherche de services d’administration (telnet,ssh)
2. Tentative de prise de contrôle grâce à des identifiants par défaut
3. Infection de l’équipement (installation du bot)
Et nous emmène sur les évolutions futures du mode d’infection :
Beaucoup d’équipements utilisent désormais des réseaux peer to peer
Caméras connectées
Digital video recorders (DVR)
Alarmes connectées
Certains réseaux utilisent des protocoles propriétaires
Peu testés
Interconnexion de millions/milliards d’objets sur quelques serveurs

 

IoT-Market-Previsions-CyberisquesNews

 


Développement peu ou pas sécurisé


Les nouveaux types d’attaque se matérialiseront par des malwares persistants avec l’utilisation de l’espace de stockage (infection de boot scripts et stockage d’executable sur carte SD).Nous aurons des attaques ciblées propre à un modèle d’équipement soit par l’exploitation de porte dérobées , soit par l’exploitation de failles applicatives.

La sécurité des objets connectés étant globalement mauvaise et leur prolifération exponnentielle , cela laisse une surface potentielle d’attaque absolument collossale pour les pirates.

 

Le Lieutenant-colonel Fabien Strebel, Chef de la division criminalistique ingénierie et numérique de l'Institut de recherche criminelle de la gendarmerie nationale nous illustre quelques cas concrets de menaces sur lesquels ils ont eu à travailler.


Il nous indique quelques mesures possibles en l’absence de norme pour ces objets :


Prise en compte de la sécurité dès la conception (authentification forte, biométrie, carte à puce etc...)
Sécurisation de l’accès au cœur de réseau « malgré l’utilisateur »

 

Lire aussi l'article de @jpbichard:  http://cyberisques.com/fr/component/content/article/139-mots-cles-32-externalisation/586-apres-l-attaque-sur-sns-dyn-la-securite-des-iot-en-question

 


Evolutions législatives (droits d’accès, conservation des données, durée etc…)
Chiffrement des flux
Supervision réactive et plan de reprise

L’exposé et les questions suscitées montrent bien le malaise qui entoure ce déploiement exponentiel d’objet connectés sans sécurité qui peuvent devenir des dangers même physiques dans certains cas comme dans le domaine médical. Que propose un organisme comme la CNIL sur ces sujets ?


En dehors de toute paranoïa, ces objets détournés de leur fonction primaire peuvent dans certains cas devenir des armes redoutables.

Surement le thème d’un futur débat !!!

 

 Gérald Delplace  Cyberisques News 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

 

BONUS

 

http://www.darkreading.com/iot/security-experts-call-for-regulation-on-iot-cybersecurity/d/d-id/1327505?_mc=NL_DR_EDT_DR_weekly_20161117&cid=NL_DR_EDT_DR_weekly_20161117&elqTrackId=d5acd74517eb4c049a5d40a2482c1507&elq=9699104be0fb4ec5a184eaf514365b93&elqaid=74953&elqat=1&elqCampaignId=24419

 

 

https://www.observatoire-fic.com/category/agenda-et-evenements/

http://cyberisques.com/fr/component/content/article/139-mots-cles-32-externalisation/586-apres-l-attaque-sur-sns-dyn-la-securite-des-iot-en-question

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires