Se prémunir contre les attaques IoT : Stratégies et bonnes pratiques

Read in English (Lire en anglais)

Selon Statista, le décompte mondial des attaques de l'Internet des objets (IoT, Internet of Things) a dépassé les 112 millions en 2022, soit une augmentation significative par rapport aux 32 millions de cas identifiés en 2018 [1]. Ces données soulèvent la question suivante : qu'est-ce qui rend les appareils IoT vulnérables aux attaques ? Existe-t-il des méthodes viables pour minimiser ces risques ? 

Lisez la suite pour approfondir la question des appareils IoT et de leur sécurité, ainsi que les stratégies que vous pouvez mettre en œuvre pour vous prémunir contre les accès non autorisés et les attaques malveillantes.

Qu'est-ce qu'un dispositif IoT ?

Parfois appelé machine « intelligente », un appareil IoT est doté d'une programmation précise pour faire fonctionner des applications ou des logiciels dédiés, ce qui lui permet de prendre en charge la connectivité internet et de communiquer avec d'autres appareils via l'internet. Ces appareils sont le « T » d’IoT (Internet of Things), c'est-à-dire les appareils équipés de capteurs et d'autres technologies leur permettant de se connecter via l'internet et d'échanger des informations. 

Généralement, les appareils IoT peuvent s'intégrer et se synchroniser avec les smartphones, ce qui vous permet de les contrôler via des applications mobiles dédiées. Par exemple, vous pouvez configurer et contrôler à distance un système de sécurité domestique intelligent à l'aide de votre appareil Android ou Apple. Si vous utilisez Google Home, Amazon Alexa ou un tracker de fitness, vous avez déjà utilisé un appareil IoT.

Qu'est-ce qu'une attaque IoT ?

Une attaque IoT désigne toute activité visant à compromettre la sécurité d'un appareil ou d'un réseau IoT. Qu'il s'agisse de prendre le contrôle de votre vaste réseau sans fil ou d'utiliser à mauvais escient des applications et des systèmes logiciels, les ramifications des attaques IoT peuvent être importantes. 

Qu'est-ce qui rend les appareils IoT vulnérables ?

Les appareils IoT sont souvent dépourvus de mécanisme de sécurité intégré pour se défendre contre les cybermenaces potentielles.

Cette lacune s'explique par le fait que les appareils IoT ont des fonctions relativement simples, ce qui nécessite une surveillance fréquente de leur sécurité. Les vulnérabilités des appareils IoT peuvent se manifester de plusieurs manières, notamment :

• La transmission de données non cryptées

• Un matériel obsolète

• Des ports réseau non protégés

• Des mesures insuffisantes de protection de la vie privée

• Des mots de passe faibles

Qu'est-ce qu'une surface d'attaque IoT ?

La surface d'attaque IoT désigne l'ensemble des failles de sécurité potentielles des appareils IoT, des logiciels qu'ils utilisent et de l'infrastructure réseau qui leur est associée. La nécessité d'un ensemble de normes de sécurité universellement acceptées dans l'industrie IoT est un défi important qui a une incidence sur le développement et la fabrication des appareils IoT.

Types d'attaques IoT

Plusieurs types d'attaques peuvent affecter les appareils connectés. Examinons quelques types d'attaques IoT notables pour mieux comprendre la menace.

1. Attaque par force brute

Dans ce type d'attaque IoT, les pirates tentent d'utiliser toutes les combinaisons de caractères jusqu'à ce qu'ils trouvent la bonne. Cette méthode peut prendre beaucoup de temps et d'efforts, mais les cybercriminels peuvent réussir, en particulier si le mot de passe que vous avez défini est faible ou facile à deviner.

2. La manipulation physique 

Lors d'une manipulation physique, les acteurs de la menace peuvent exploiter des ports ouverts, des circuits exposés ou un accès physique à votre appareil pour voler des données ou installer des logiciels malveillants. Ces logiciels malveillants peuvent servir de passerelle pour d'autres cyberattaques.

3. Attaque de l'homme du milieu (MITM, Man In The Middle)

Lors d'une attaque MITM, l'attaquant se place entre deux entités de confiance, comme un capteur IoT et un serveur cloud, qui communiquent activement. Il peut ainsi intercepter et écouter les données échangées entre les deux entités, ce qui peut entraîner la violation d'informations sensibles. 

4. Piratage de micrologiciel

Les fabricants d'appareils IoT proposent une grande variété de logiciels et de mises à jour pour leurs produits respectifs. Les pirates peuvent tirer parti de cette diversité en mettant en ligne des mises à jour ou des pilotes frauduleux. Le fait de ne pas vérifier les pilotes de votre appareil IoT peut permettre aux attaquants de pirater votre appareil et d'installer des logiciels malveillants.

Comment prévenir les attaques IoT

Comment pouvez-vous empêcher les accès non autorisés et vous prémunir contre les menaces potentielles liées à l'IoT ? Examinons quelques stratégies que vous pouvez utiliser.

1. Informez-vous régulièrement des mises à jour du micrologiciel.

Lors de l'installation d'un nouvel appareil IoT, vérifiez sur le site web du fournisseur si des correctifs de sécurité sont disponibles pour remédier aux vulnérabilités connues. Vous pouvez également décider d’un planning régulier de gestion des correctifs et de mise à jour des microprogrammes. 

2. Connecter judicieusement les appareils IoT.

Bien que de nombreux appareils contemporains, tels que les réfrigérateurs, les haut-parleurs et les téléviseurs, soient dotés d'une connectivité internet, toutes les fonctionnalités ne l'exigent pas. Examinez minutieusement les fonctions de vos appareils pour identifier celles qui nécessitent réellement une connexion à l'internet. En limitant la connectivité internet aux fonctions essentielles, vous réduisez la surface d'attaque et renforcez la sécurité globale de votre réseau.

3. Établir une sécurité physique pour les appareils IoT.

Supposons que vous ayez installé sur votre porte d'entrée une serrure intelligente que vous pouvez contrôler à distance via l'internet. Sans protection physique adéquate, cette serrure intelligente devient vulnérable aux accès non autorisés et aux manipulations. Reconnaître l'importance de la sécurité physique est le premier pas vers la prévention des intrusions.

4. Définir des mots de passe forts.

Un mot de passe faible équivaut à laisser toutes les portes et fenêtres de votre monde numérique grandes ouvertes. Si des pirates parviennent à deviner ou à obtenir votre mot de passe pour un appareil, cela pourrait leur permettre d'accéder à tous les appareils partageant ce mot de passe. L'utilisation de mots de passe sûrs et difficiles à deviner constitue la meilleure défense possible contre ce type de menaces. Un mot de passe robuste doit être complexe et contenir une combinaison de chiffres, de caractères spéciaux et de lettres majuscules et minuscules.

5. Utiliser des outils de détection d'intrusion.

Comme les logiciels antivirus, les systèmes de détection d'intrusion surveillent assidûment votre réseau à la recherche d'indicateurs d'activité anormale, empêchant ainsi les menaces potentielles de compromettre la sécurité de votre appareil.

Qu'est-ce que le EU Cyber Resilience Act et le US Cyber Trust Mark ? 

Les États-Unis et l’Union Européenne se sont engagés depuis plusieurs années dans un dialogue et un processus d’harmonisation concernant la cybersécurité, en particulier en ce qui concerne les objets connectés [2]. 

De chaque côté de l’Atlantique, cette réflexion a débouché sur des mesures de certification et de labellisation des objets connectés qui doivent entrer en vigueur en 2024. Il s’agit aux États-Unis du programme US Cyber Trust Mark [3] et dans l’Union Européenne de l’EU Cyber Resilence Act (Loi de l’UE sur la Cyberrésilience), qui contraindront les fabricants à adopter des règles précises en matière de cybersécurité, depuis la conception des produits jusqu’à leur maintenance [4].

Commencez avec Coursera.

Approfondissez votre compréhension de la sécurité IoT avec le cours Cybersecurity and Internet of Things de l’University System of Georgia, disponible sur Coursera. Ce cours vous aidera à en savoir plus sur les politiques et pratiques de sécurité qui peuvent atténuer efficacement les risques dans un environnement professionnel. Vous aurez besoin d'environ 11 heures pour terminer ce cours, à la suite duquel vous obtiendrez un certificat partageable.