Selon les analystes de GlobalData, le marché des solutions IoT
s'élevait l' année dernière
à environ 130 milliards de dollars . D'ici 2023, ce chiffre va presque tripler pour atteindre 318 milliards de dollars et la croissance annuelle (GAGR) est désormais de l'ordre de 20%. Le volume d'appareils connectés d'ici 2020
s'élèvera à 20-50 milliards de pièces .
Malheureusement, les gadgets intelligents sont mal protégés contre le piratage. Beaucoup d'entre eux contiennent des informations d'identification intégrées, des vulnérabilités qui sont facilement détectées et exploitées par les cybercriminels. Exemple: la propagation rapide de Mirai. Et maintenant, les attaques sont toujours en cours, grâce à la nouvelle incarnation du malware.
On estime que les dommages causés à l'économie mondiale par les botnets se
sont élevés à 110 milliards de dollars l'année dernière .
Un peu sur les botnets
En plus de Mirai, BetaBot, TrickBot, Panda, Ramnit sont désormais pertinents. Ils infectent progressivement de plus en plus d'appareils intelligents et constituent un danger pour les entreprises et l'État.
Les pertes commerciales causées par des logiciels malveillants peuvent être très importantes. Un botnet est capable de bloquer complètement le travail des services de toute entreprise, ce qui entraînera des temps d'arrêt forcés. Dans ce cas, les pertes
s'élèvent en moyenne à 100 000 $ . L'entreprise devra dépenser encore plus pour éliminer les conséquences du piratage.
En outre, le malware peut attaquer le réseau d'entreprises pour voler des données d'entreprise: noms d'utilisateur et mots de passe des employés, informations financières, développements technologiques. Un botnet peut agir de différentes manières, notamment en interceptant les frappes.
Malheureusement, non seulement les logiciels malveillants sont dangereux, mais aussi les appareils intelligents eux-mêmes.
Smart Gadgets - Pourquoi sont-ils dangereux?
Les appareils intelligents représentent un danger pour une entreprise ou une personne privée, même lorsqu'ils sont déjà jetés et se trouvent dans une poubelle. Certains d'entre eux stockent des informations sur l'accès aux réseaux sans fil locaux et à d'autres données. Et si les pirates informatiques antérieurs recherchaient les enregistrements et les disques que les employés de diverses sociétés jetaient, la chasse aux systèmes IoT pourrait maintenant commencer.
Ampoules intelligentesLes spécialistes des résultats limités ont étudié plusieurs modèles de lampes intelligentes populaires. L'équipe de recherche a acquis une nouvelle ampoule LIFX et l'a connectée à un réseau sans fil. Ensuite, la lumière a été
éteinte et démontée .
Après avoir chargé les données stockées sur l'ampoule, il s'est avéré que la décharge avait accès au réseau WiFi auquel l'appareil était connecté après l'achat. Les données ont été stockées en texte clair. Même le certificat racine et la clé RSA privée étaient disponibles.
Et non seulement LIFX a eu des problèmes, mais les données ont été téléchargées à partir d'autres ampoules intelligentes. Probablement, si les chercheurs analysaient les caméras intelligentes, les verrous, les yeux, etc., la situation serait à peu près la même.
Thermostats
L'année dernière, le piratage d'un casino sécurisé (du point de vue de la cybersécurité) était largement connu. Les attaquants n'ont pas réussi à casser le «front» du système,
ils ont donc commencé à chercher des failles . L'un d'eux s'est avéré être un thermostat intelligent, qui a été utilisé pour thermoréguler un grand aquarium installé dans un casino. Le thermostat a été piraté en entrant dans un réseau sans fil. Après cela, les crackers ont volé une base de données de joueurs qui font de gros paris, ce qui représente un énorme intérêt pour les autres casinos.
Caméras intelligentesRobert Hannigan, le chef de l'agence britannique de renseignement GCHQ en 2014-2017, a été témoin du piratage d'un grand réseau bancaire. Les attaquants
ont pu accéder au réseau de l'entreprise grâce à des caméras intelligentes, facilement
accessibles .
Les caméras intelligentes peuvent également inclure des nounous. Il y a quelques années
, un cas est devenu connu lorsqu'un attaquant a commencé à rechercher des appareils connectés uniquement pour effrayer les enfants (par exemple, dire quelque chose d'une voix effrayante à travers un haut-parleur externe).
Robots aspirateursLes modèles d'aspirateurs robotisés équipés de caméras peuvent servir d'outils de craquage fiables. Un tel appareil vous permet non seulement d'accéder au réseau sans fil de votre maison ou de votre bureau, mais également de surveiller et d'écouter ce qui se passe.
L'année dernière, il a été mis au courant des vulnérabilités de plusieurs aspirateurs robotiques,
notamment Diqee 360 ,
Xiaomi Mi Robot et d'autres modèles.
Et autre choseLe piratage affecte un grand nombre d'autres gadgets, leur nom est Légion. Routeurs le plus souvent piratés, caméras de surveillance, composants de systèmes tels que la «maison intelligente».
En janvier 2018, des experts en sécurité de l'information de l'Université Ben Gourion ont parlé de vérifier près de deux douzaines d'appareils intelligents aléatoires - des gadgets populaires achetés auprès du fabricant. Il s'est avéré que la grande majorité pirate en
une demi-heure environ . Le moyen le plus simple d'accéder à l'appareil est de choisir un mot de passe par défaut.
Quel est le problème?
Le plus souvent, les fabricants d'appareils intelligents ne fournissent tout simplement aucun mécanisme pour contrer les attaquants. La raison en est simple: la plupart des entreprises recherchent le coût minimum de l'appareil.
Si l'entreprise ne publie pas constamment de nouveaux articles, elle fera faillite. Pour mettre en œuvre le mécanisme de sécurité de l'information, de l'argent et du temps sont nécessaires - des ressources dont tous les développeurs ne disposent pas.
Pour raccourcir le cycle de production, les entreprises assemblent leurs appareils à partir de composants prêts à l'emploi produits par différents fabricants: processeur, caméra, module de communication sans fil, puce audio, etc. Mais tout élément peut contenir une vulnérabilité que personne ne connaît. Idéalement, un appareil intégré devrait être vérifié pendant plusieurs semaines, en explorant les trous possibles. Mais en pratique, rien de tel ne se produit.
De l'idée de l'appareil à sa mise en œuvre, parfois seulement quelques mois s'écoulent, une vérification complète de cette situation ne peut pas être effectuée. Bien sûr, il y a des exceptions, mais il y en a peu.
Environ
90% des appareils intelligents étudiés par des experts étaient mal protégés . Les vulnérabilités de beaucoup d'entre elles ne peuvent pas être éliminées, car le fabricant de l'appareil lui-même ou de l'un des composants ne publie pas de mises à jour. Et s'il sort, alors loin de tous les utilisateurs sont au courant du nouveau produit, sans parler d'un niveau suffisant de connaissances techniques pour télécharger et mettre à jour le nouveau firmware.
Comment résoudre le problème?
Un moyen fiable de se protéger contre les menaces IoT.Il existe deux possibilités - pour les fabricants et pour les utilisateurs. Quant aux fabricants, les appareils IoT ont besoin de normes communes pour unifier l'industrie. Au lieu d'un «zoo» de différentes solutions, il y aura des appareils standardisés de différents types, y compris des gadgets pour les ménages et les entreprises. Malheureusement, la situation est maintenant si compliquée qu'il n'est pas possible d'unifier tout cela dans un avenir proche. Des tentatives uniques sont faites aux États-Unis et dans d'autres pays.
Les utilisateurs ne peuvent que recommander l'achat d'appareils testés par le temps et d'autres personnes, n'achetez pas de gadgets d'occasion (vous ne savez jamais, le propriétaire précédent a laissé un "cadeau"), étudiez le modèle de gadget sur Internet avant d'acheter, pour vous assurer qu'il n'a pas de mot de passe universel. Et les recommandations les plus courantes consistent à utiliser des mots de passe uniques complexes, à installer des mises à jour si elles sont disponibles.
En général, la sphère de l'IoT ne changera pas tant que les législateurs, les développeurs et les utilisateurs ne changeront pas d'attitude à son égard. Si la sécurité de l'information des systèmes IoT devient une des priorités, des changements positifs peuvent être observés en quelques semaines.
Avez-vous une politique de sécurité concernant les gadgets IoT (personnels ou d'entreprise)?
Vous utilisez des gadgets IoT? Quelles précautions avez-vous?