L’Internet des Objets (IoT) arrive sur le marché à un rythme exponentiel. Presque tout, depuis les appareils électroménagers jusqu’aux véhicules, en passant par les jouets pour les enfants, est en passe d’être paré de la connectivité réseau. Pour Mike Ahmadi, expert sécurité chez DigiCert, cette augmentation du nombre d’objets connectés s’accompagne d’un risque majeur d’attaques informatiques. La plupart de ces objets connectés souffrent d’une sécurité quasi nulle. Il s’exprime dans cette tribune.
Une quantité considérable de données est désormais susceptible d’être attaquées. La phase d’apprentissage des cybercriminels potentiels est d’une facilité déconcertante. Par exemple, de nombreux systèmes connectés à internet contiennent des mots de passe par défaut, inscrits directement dans le code informatique du logiciel, ou bien simplement écrits dans les modes d’emploi.
Un problème connu de tous
Ce problème est connu depuis des décennies et persiste aujourd’hui. Comme le prix des équipements de réseau a chuté, le volume de périphériques utilisant des mots de passe ajoutés directement dans le code est vertigineux.
Autre cas, l’utilisation d’un mot de passe par défaut est chose courante. Ce peut être un mot de passe par défaut unique, commun à un type de périphérique ou un peu plus élaboré comme un numéro de série par périphérique. Comme les utilisateurs ne modifient pas les mots de passe des appareils, une personne malveillante peut facilement utiliser des outils de recherche prêts à l’emploi pour scanner via internet des périphériques courants et voir ce qui se présente.
Dans le cas où un numéro de série est employé – les numéros de série sont souvent séquentiels – il suffit à l’attaquant de déterminer le système de numérotation alphanumérique puis d’écrire un script très simple pour les rechercher et les exploiter.
Une attaque d’une base de données via un thermomètre connecté
De nombreux utilisateurs d’appareils connectés sont dans l’incapacité de mesurer les risques réels. Récemment, une base de données d’un casino de Las Vegas a été piratée grâce à au thermomètre d’un aquarium du casino, connecté à internet. Les pirates ont exploité une vulnérabilité du thermomètre pour accéder au réseau du casino puis l’ont exploré pour trouver ce qu’ils cherchaient. Il n’est évident pour personne qu’un thermomètre d’aquarium puisse être une cible, mais les hackers sont opportunistes.
Aucun règlement n’oblige les fabricants de périphériques IoT à y inclure des éléments essentiels de sécurité. Le tristement célèbre Botnet Mirai en est l’exemple même. Des millions d’utilisateurs n’ont pas appliqué une sécurité appropriée, en grande partie parce qu’il ne leur semblait pas que leur appareil connecté puisse être la cible valable d’une attaque.
Le problème persiste et il va s’aggraver jusqu’à ce que les autorités de réglementation se réveillent et se rendent enfin compte des failles dans leur façon de percevoir les questions de sécurité. Les défaillances ont déjà provoqué un effet « boule de neige » très réel. Les fabricants d’appareils doivent anticiper et prendre des mesures plus proactives. Quant aux utilisateurs, ils doivent être mieux informés, et se méfier beaucoup plus des périphériques qu’ils ajoutent à leur réseau.