Fin 2018, le nombre d'appareils IoT connectés
dépassait les 22 milliards . Sur les 7,6 milliards de personnes sur Terre, 4 milliards ont accès à Internet. Il s'avère que pour chaque personne il y a 5,5 appareils de l'Internet des objets.
En moyenne,
environ 5 minutes s'écoulent entre le moment où l'appareil IoT se connecte au réseau et le moment de la première attaque. De plus, la plupart des attaques contre les appareils intelligents sont
automatisées .
Bien entendu, de si tristes statistiques ne sauraient laisser indifférents spécialistes du domaine de la cybersécurité. L'organisation à but non lucratif internationale OWASP (Open Web Application Security Project) était préoccupée par la sécurité de l'Internet des objets en 2014, après avoir publié la première version de OWASP Top 10 IoT. Une version mise à jour du «
TOP 10 des vulnérabilités de l'Internet des objets » avec des menaces mises à jour a été publiée en 2018. Ce projet est conçu pour aider les fabricants, les développeurs et les consommateurs à comprendre les problèmes de sécurité IoT et à prendre des décisions de sécurité des informations plus éclairées lors de la création d'écosystèmes IoT.
10. Sécurité physique insuffisante.
L'absence de mesures de protection physique, permettant aux attaquants potentiels d'obtenir des informations confidentielles, ce qui peut à l'avenir aider à mettre en œuvre une attaque à distance ou à contrôler localement l'appareil.
L'un des défis de sécurité de l'écosystème IoT est que ses composants sont distribués dans l'espace et sont souvent installés dans des lieux publics ou non sécurisés. Cela permet aux attaquants d'accéder à l'appareil et de le contrôler localement ou de l'utiliser pour accéder au reste du réseau.
Un attaquant peut copier les paramètres (réseau IP, adresse MAC, etc.) et mettre son appareil à la place de celui d'origine pour écouter ou réduire les performances du réseau. Il peut pirater un lecteur RFID, définir un signet matériel, infecter avec des logiciels malveillants, voler les données nécessaires ou tout simplement désactiver physiquement l'appareil IoT.
La solution à ce problème est l'une - pour compliquer l'accès physique aux appareils. Ils peuvent être installés sur des zones protégées, en hauteur ou utiliser des armoires protégées anti-vandalisme.
9. Paramètres par défaut non sécurisés
Les appareils ou les systèmes sont livrés avec des paramètres par défaut dangereux ou ne peuvent pas rendre le système plus sûr en empêchant les utilisateurs de modifier les configurations.
Tout fabricant veut gagner plus et dépenser moins. L'appareil peut être implémenté avec de nombreuses fonctions intelligentes, mais il n'est pas possible de configurer la sécurité.
Par exemple, il ne prend pas en charge la vérification de la fiabilité des mots de passe, il n'est pas possible de créer des comptes avec différents droits - administrateur et utilisateurs, il n'y a pas de paramètres pour le cryptage, la journalisation et la notification des utilisateurs sur les événements de sécurité.
8. L'incapacité de contrôler l'appareil
Absence de prise en charge de la sécurité pour les appareils déployés en production, y compris la gestion des actifs, la gestion des mises à jour, la mise hors service sécurisée, la surveillance du système et la réponse.
Les appareils IoT sont le plus souvent une boîte noire. Ils n'ont pas mis en œuvre la capacité de surveiller l'état du travail, d'identifier quels services sont en cours d'exécution et avec quoi interagir.
Tous les fabricants ne donnent pas aux utilisateurs d'appareils IoT un contrôle total sur le système d'exploitation et les applications en cours d'exécution, ainsi que la vérification de l'intégrité et de la légitimité des logiciels téléchargés ou l'installation de correctifs de mise à jour sur le système d'exploitation.
Pendant les attaques, le micrologiciel de l'appareil peut être reconfiguré de sorte qu'il ne peut être réparé qu'en clignotant complètement l'appareil. Un inconvénient similaire a été utilisé, par exemple, par les
logiciels malveillants Silex .
La solution à ces problèmes peut être l'utilisation de logiciels spécialisés pour gérer les appareils de l'Internet des objets, par exemple, les solutions cloud AWS, Google, IBM, etc.
7. Transfert et stockage non sécurisés des données
Manque de chiffrement ou de contrôle d'accès aux données sensibles n'importe où dans l'écosystème, y compris pendant le stockage, pendant la transmission ou pendant le traitement.
Les appareils Internet of Things collectent et stockent des données environnementales, y compris diverses informations personnelles. Un mot de passe compromis peut être remplacé, mais les données volées d'un appareil biométrique - empreinte digitale, rétine, biométrie du visage - non.
Dans le même temps, les appareils IoT peuvent non seulement stocker des données sous forme non cryptée, mais aussi les transmettre sur le réseau. Si la transmission de données en clair dans le réseau local peut être expliquée d'une manière ou d'une autre, alors dans le cas d'un réseau sans fil ou d'une transmission Internet, elle peut devenir la propriété de n'importe qui.
L'utilisateur lui-même peut utiliser des canaux de communication sécurisés pour le transfert de données, mais le fabricant de l'appareil doit veiller à chiffrer les mots de passe stockés, les données biométriques et autres données importantes.
6. Protection insuffisante de la vie privée
Les informations personnelles de l'utilisateur stockées sur un appareil ou un écosystème qui sont utilisées de manière non sécurisée, incorrecte ou sans autorisation.
Cet article TOP-10 fait écho au précédent: toutes les données personnelles doivent être stockées et transmises de manière sécurisée. Mais ce paragraphe considère la vie privée dans un sens plus profond, notamment du point de vue de la protection des secrets de la vie privée.
Les appareils IoT collectent des informations sur ce qui les entoure et qui les entoure, y compris cela s'applique également aux personnes sans méfiance. Des données d'utilisateur volées ou mal traitées peuvent discréditer involontairement une personne (par exemple, lorsque des caméras de circulation mal configurées exposent des conjoints infidèles) et peuvent être utilisées dans le chantage.
Pour résoudre le problème, vous devez savoir exactement quelles données sont collectées par l'appareil IoT, l'application mobile et les interfaces cloud.
Vous devez vous assurer que seules les données nécessaires au fonctionnement de l'appareil sont collectées, vérifier s'il existe une autorisation de stocker des données personnelles et si elles sont protégées, et si des politiques de stockage des données sont prescrites. Sinon, si ces conditions ne sont pas respectées, l'utilisateur peut avoir des problèmes avec la loi.
5. Utilisation de composants dangereux ou obsolètes
Utilisation de composants logiciels ou de bibliothèques obsolètes ou non sécurisés qui pourraient compromettre votre appareil. Cela inclut la configuration non sécurisée des plates-formes de système d'exploitation et l'utilisation de logiciels ou de composants matériels tiers provenant d'une chaîne d'approvisionnement compromise.
Un composant vulnérable peut annuler toute sécurité configurée.
Début 2019, l'expert
Paul Marrapiz a identifié des vulnérabilités dans l'utilitaire iLnkP2P P2P, qui est installé sur plus de 2 millions d'appareils connectés au réseau: caméras IP, babyphones, sonnettes intelligentes et DVR.
La première vulnérabilité
CVE-2019-11219 permet à un attaquant d'identifier un appareil, la seconde est une vulnérabilité d'authentification dans iLnkP2P
CVE-2019-11220 - pour intercepter le trafic en clair, y compris les flux vidéo et les mots de passe.
Pendant plusieurs mois, Paul
s'est tourné trois fois vers le fabricant et deux fois vers le développeur de l'utilitaire, mais n'a jamais reçu de réponse de sa part.
La solution à ce problème est de surveiller la publication des correctifs de sécurité et de mettre à jour l'appareil, et s'ils ne sortent pas ... changez de fabricant.
4. Absence de mécanismes de mise à jour sécurisés
L'incapacité de mettre à jour l'appareil en toute sécurité. Cela inclut le manque de validation du firmware sur l'appareil, le manque de livraison sécurisée (sans cryptage lors de la transmission), le manque de mécanismes pour empêcher les retours en arrière et l'absence de notifications sur les changements de sécurité dus aux mises à jour.
L'incapacité de mettre à jour l'appareil lui-même est une faiblesse de sécurité. L'échec de l'installation de la mise à jour signifie que les appareils restent vulnérables pendant une durée indéterminée.
Mais en plus, la mise à jour elle-même et le firmware peuvent également être dangereux. Par exemple, si les canaux chiffrés ne sont pas utilisés pour recevoir le logiciel, le fichier de mise à jour n'est pas chiffré ou son intégrité n'est pas vérifiée avant l'installation, il n'y a pas de protection anti-rollback (protection contre le retour à une version précédente, plus vulnérable), ou il n'y a pas de notifications sur les changements de sécurité dus aux mises à jour.
Une solution à ce problème est également du côté du fabricant. Mais vous pouvez vérifier si votre appareil est capable de se mettre à jour. Assurez-vous que les fichiers de mise à jour sont téléchargés à partir du serveur vérifié via un canal crypté et que votre appareil utilise une architecture d'installation de mise à jour sécurisée.
3. Interfaces d'écosystème dangereuses
Une interface Web, une API, un cloud ou des interfaces mobiles dangereuses dans l'écosystème en dehors de l'appareil, ce qui vous permet de compromettre l'appareil ou ses composants associés. Les problèmes courants incluent le manque d'authentification ou d'autorisation, le manque ou le faible cryptage et le manque de filtrage d'entrée et de sortie.
L'utilisation d'interfaces Web, d'API, d'interfaces cloud et mobiles non sécurisées vous permet de compromettre l'appareil ou ses composants associés même sans vous y connecter.
Par exemple,
Barracuda Labs a effectué une analyse de l'application mobile et de l'interface Web de l'une des caméras «intelligentes» et a trouvé des vulnérabilités qui permettent d'obtenir un mot de passe pour le dispositif Internet des objets:
- L'application mobile a ignoré la validité du certificat de serveur.
- L'application Web était vulnérable aux scripts intersites.
- Il était possible de contourner les fichiers sur un serveur cloud.
- Les mises à jour de l'appareil n'étaient pas protégées.
- Le périphérique a ignoré la validité du certificat de serveur.
Pour la protection, il est nécessaire de changer l'utilisateur et le mot de passe par défaut, assurez-vous que l'interface Web n'est pas sujette aux scripts intersites, à l'injection SQL ou aux attaques CSRF.
En outre, une protection contre les attaques par mot de passe par force brute doit être mise en œuvre. Par exemple, après trois tentatives de saisie incorrecte du mot de passe, le compte doit être bloqué et autoriser la récupération du mot de passe uniquement via une réinitialisation matérielle.
2. Services réseau non sécurisés
Services réseau inutiles ou non sécurisés s'exécutant sur l'appareil lui-même, en particulier ouverts à un réseau externe, compromettant la confidentialité, l'intégrité, l'authenticité, l'accessibilité des informations ou autorisant un contrôle à distance non autorisé.
Les services réseau inutiles ou non sécurisés compromettent la sécurité des appareils, en particulier s'ils ont accès à Internet.
Les services réseau non sécurisés peuvent être sensibles au débordement de la mémoire tampon et aux attaques DDoS. Les ports réseau ouverts peuvent être analysés à la recherche de vulnérabilités et de services de connexion non sécurisés.
L'un des vecteurs d'attaques et d'infection des appareils IoT les plus populaires à ce jour est l'énumération des mots de passe sur les services
Telnet non désactivés
et sur SSH . Après avoir accédé à ces services, les attaquants peuvent télécharger des logiciels malveillants sur l'appareil ou accéder à des informations précieuses.
1. Mot de passe faible, devinable ou codé en dur
L'utilisation d'informations d'identification facilement fissurables, accessibles au public ou immuables, y compris des portes dérobées dans le micrologiciel ou le logiciel client qui fournit un accès non autorisé aux systèmes déployés.
Étonnamment, jusque-là, la plus grande vulnérabilité est l'utilisation de mots de passe faibles, de mots de passe par défaut ou de mots de passe divulgués au réseau.
Malgré le besoin évident d'utiliser un mot de passe fort, certains utilisateurs ne modifient toujours pas les mots de passe par défaut. En juin 2019, les logiciels malveillants Silex en ont profité, ce qui
en une heure s'est transformé en une brique d'environ 2000 appareils IoT.
Et avant cela, le célèbre botnet et ver Mirai a réussi à infecter 600 000 appareils de l'Internet des objets, en utilisant une base de données de
61 combinaisons de connexion / mot de passe
standard .
La solution est de changer le mot de passe!
ConclusionsLorsque les utilisateurs achètent des appareils IoT, ils pensent principalement à leurs capacités «intelligentes», pas à la sécurité.
En effet, de la même manière, lors de l'achat d'une voiture ou d'un micro-ondes, nous espérons que l'appareil est «
de conception sûre » pour son utilisation.
Tant que la sécurité de l'IoT n'est pas réglementée par la loi (jusqu'à présent, ces lois ne sont
en cours d' élaboration), les fabricants ne dépenseront pas d'argent supplémentaire pour cela.
Il s'avère que la seule façon de motiver le fabricant n'est pas d'acheter des appareils vulnérables.
Et pour cela, nous devons ... penser à leur sécurité.