La cybersécurité de l'Internet des Objets (IoT ou Internet of Things) représente un véritable défi. Découvrez tout ce que vous devez savoir sur les principales menaces qui planent sur cette technologie, et sur les solutions pour y faire face.
L'Internet des Objets, ou IoT (Internet of Things) permet d'étendre la connexion à internet au-delà des ordinateurs et des smartphones, à tous les objets ou presque.
Cette technologie est au cœur de la transformation numérique, et amorce une nouvelle révolution industrielle. Elle transforme les entreprises, mais aussi la vie quotidienne.
Une fois connecté à internet, un objet devient capable de recevoir et d'envoyer des informations. En quelque sorte, il devient donc " intelligent ".
La connexion au Cloud et à internet permet à un objet d'accéder aux ressources de stockage de données et de calcul de puissants serveurs. Dès lors, s'offrent de nombreuses possibilités.
Comment fonctionne l'IoT ?
Les capteurs IoT permettent de collecter des données et des informations. Un capteur peut par exemple mesurer la température, l'humidité, le mouvement, la qualité de l'air, la luminosité...
Couplées à une connexion internet, ces données peuvent être analysées pour prendre de meilleures décisions. Une ferme peut par exemple collecter des informations sur l'humidité du sol pour savoir précisément quand arroser les plantes. Ceci évitera de sur-arroser ou de sous-arroser.
À la manière dont nos sens nous permettent de collecter des informations sur notre environnement, les capteurs IoT offrent la même capacité aux objets. Les ordinateurs traitent les informations en provenance des capteurs.
L'IoT permet aussi aux objets de recevoir des données, et donc des instructions. Pour reprendre l'exemple de la ferme, un système d'irrigation connecté à internet pourra s'activer automatiquement si ses capteurs d'humidité détectent qu'il est temps d'arroser.
Les données sur l'humidité du sol, la quantité d'irrigation requise ou la croissance des plantes peuvent aussi être collectées. Elles sont ensuite transmises à des ordinateurs via le Cloud, afin d'analyser ces informations via des algorithmes. Ceci permet d'entraîner des modèles capables de prédire le futur des plantes et d'éviter les pertes.
Il ne s'agit que d'un exemple, focalisé sur un seul type de capteur. Cette même ferme pourrait ajouter des capteurs de luminosité, de qualité de l'air, de température pour collecter encore plus de données et ouvrir d'autres opportunités. Au fil du temps, les algorithmes se basent sur les données collectées par les fermes du monde entier pour déterminer les conditions de culture idéales de toutes les plantes.
L'Internet des Objets peut être utilisé dans tous les domaines. Cette technologie sert aussi de fondation à la Smart City, à la maison connectée, aux voitures autonomes ou aux usines connectées. Les possibilités sont sans limites.
IoT et cybersécurité
La plus grande faiblesse de l'Internet des Objets est un grave problème de cybersécurité. Un rapport " Open Economy " publié par Samsung en 2018 souligne l'importance de sécuriser tous les objets connectés.
D'ici 2025, on estime que plus 30 milliards d'objets connectés seront en circulation dans le monde. Ceci représente une moyenne de 4 appareils IoT par personne. Des billions de capteurs communiqueront et interagiront. Selon le McKinsey Global Institute, 127 nouveaux appareils se connectent chaque seconde à internet.
Protéger cette immense surface d'attaque n'est pas une mince affaire. Déjà en 2016, des hackers avaient pris le contrôle de nombreux objets connectés obsolètes pour créer un botnet et lancer des attaques DDoS sur des sites web. Une entreprise chinoise a ensuite rappelé 4,3 millions de caméras connectées à cause d'une faille de sécurité.
Tout ce qui est connecté à internet peut être piraté. Les objets connectés ne font pas exception. Un manque de sécurité de systèmes IoT a provoqué la perte de vidéos et d'images d'enfants utilisant les jouets connectés VTech.
Selon un rapport de Comcast, un foyer américain moyen est exposé à 104 menaces de cybersécurité chaque mois. Les appareils les plus vulnérables sont les ordinateurs, les smartphones, les tablettes, les caméras connectés, les appareils de stockage ou de streaming vidéo.
Les appareils IoT sont d'autant plus fragiles qu'ils ont peu de capacité de stockage et de traitement. Il est donc difficile d'y installer des antivirus, des firewalls ou d'autres dispositifs de sécurité.
Ils capturent néanmoins suffisamment de données pour en faire des cibles attrayantes pour les cybercriminels. Ces appareils peuvent aussi être attaqués par un ransomware. Et si votre système de chauffage IoT est paralysé par un hacker en plein hiver, il y a fort à parier que vous payerez la rançon.
Au troisième trimestre 2020, Check Point Research a enregistré une augmentation de 50% du nombre moyen d'attaques ransomware quotidiennes en comparaison avec le premier semestre 2021.
L'Internet des Objets crée aussi un risque d'espionnage et de surveillance. Les données collectées par les capteurs peuvent être utilisées par les entreprises pour du ciblage publicitaire, à l'instar d'un frigo connecté vide. Il a même été révélé que les employés Amazon écoutent les conversations des utilisateurs d'enceintes Alexa.
Déjà en 2016, le directeur des renseignements américains, James Clapper, estimait que l'IoT pourrait être utilisé pour l'identification, la surveillance, le suivi de géolocalisation ou l'accès aux identifiants des utilisateurs. Un peu plus tard, Wikileaks a révélé que la CIA avait exploité des failles de sécurité d'une télévision connectée Samsung.
Les principales menaces pour l'Internet des Objets
Les cyberattaques sur l'Internet des Objets sont en constante augmentation. Ces assauts s'intensifient avec la tendance du télétravail.
Selon le General Accounting Office des États-Unis (GAO), l'IoT est particulièrement menacé par plusieurs catégories d'attaques.
Les attaques DDoS consistent à submerger le trafic d'un site web pour le faire planter. Elles peuvent être utilisées pour neutraliser un réseau IoT sur lequel des objets sont connectés, mais les objets connectés peuvent aussi être enrôlés par des hackers pour former un "botnet" et lancer des attaques DDoS sur des sites web.
Une autre grande menace est celle des malwares, ou logiciels malveillants. À l'instar des ordinateurs ou des smartphones, les objets connectés peuvent être contaminés par des virus capables d'empêcher leur fonctionnement, de les détourner ou d'en extraire toutes les données.
L'injection de code SQL est également possible sur un objet connecté, notamment pour récupérer des données. Les hackers peuvent aussi repérer les objets connectés parmi les réseaux WiFi pour les attaquer.
Les failles "zero-day" déjà présentes en sortie d'usine sont aussi un réel problème. Enfin, il existe un risque de surveillance et d'espionnage des objets connectés.
Comment renforcer la cybersécurité de l'IoT ?
Pour renforcer la sécurité de l'IoT, il est nécessaire de mettre en place des standards industriels universels. Les objets connectés doivent pouvoir communiquer entre eux et partager des données. Or, les protocoles de communication sont actuellement nombreux et incompatibles entre eux. L'adoption de standards permettra d'assurer la sécurité de l'IoT, et stimulera le développement de nouveaux produits.
Face à cette technologie, il est essentiel d'adopter une approche prudente. Il existe différents services, protocoles et solutions permettant de relever le défi de la sécurité IoT.
Les entreprises peuvent s'appuyer sur les frameworks dédiés à la cybersécurité IoT, tels que celui rédigé par la NIST. Elles doivent notamment évaluer la vulnérabilité de tous les appareils connectés à leur réseau. Un plan de réaction doit être élaboré en cas d'incident.
Les appareils IoT doivent aussi être compartimentés pour minimiser la surface d'attaque. Dans la même logique, des logiciels et appareils de sécurité peuvent être ajoutés pour constituer une barrière virtuelle.
Les menaces doivent être constamment surveillées, et toute mise à jour doit être immédiatement déployée pour corriger les éventuelles vulnérabilités. Pensez aussi à ne pas garder les mots de passe par défaut sur vos appareils IoT.
Des systèmes d'authentification robustes et un contrôle des accès sont également indispensables. Les communications de données entre appareils IoT doivent être chiffrées et sécurisées. Toutes les données doivent aussi être sauvegardées via des backups.
Il est également possible d'externaliser la sécurité, ou de se tourner vers un fournisseur de services Cloud. Les nouvelles technologies comme l'intelligence artificielle et le Machine Learning peuvent être d'un précieux secours, au même titre que l'analyse en temps réel.
Au-delà de toutes ces mesures, le plus important est de former tous les employés à la cybersécurité. Chaque membre de l'organisation doit connaître les menaces existantes, et savoir reconnaître les signaux alarmants. Afin de former vos employés, vous pouvez choisir la Cyber University.