Contrer les failles de sécurité des objets connectés

L’Internet des Objets (IoT) est au cœur des innovations technologiques actuelles. Utilisés aussi bien par les entreprises que par des particuliers, les objets connectés en service pourraient atteindre le nombre de 20 à 30 milliards d’ici 2020 selon les différentes projections. Alors que la 5G s’apprête à recouvrir une grande partie du monde, accélérant encore cette expansion, quid de la sécurité des objets connectés et de vos données sensibles ? Nouveaux, ludiques, pratiques, utiles, les objets connectés n’ont, a priori, que des qualités. Derrière eux se cache pourtant cet enjeu fondamental qui, s’il n’est pas pris en compte assez tôt, peut entraîner de graves conséquences. D’autant plus que, 80% des objets connectés en circulation seraient vulnérables (selon le cabinet Gartner). La sécurité des objets connectés est souvent sous-estimée mais s’avère primordiale !

 

Sécurité des objets connectés : des risques élevés et mal connus

Les objets connectés sont aujourd’hui partout : caméras, serrures, volets. Mais aussi des capteurs afin de déterminer le niveau de chauffage ou de luminosité des pièces selon la présence des habitants. Ceux-ci concernent principalement les domaines de la domotique et de l’énergie. A un autre niveau, les capteurs peuvent avoir d’autres objectifs, plus sensibles et plus ciblés, liés aux procédés industriels par exemple, et sont monnaie courante dans le contexte des entreprises. Mais quel que soit l’objet connecté, s’il n’est pas suffisamment protégé, il est une porte ouverte aux piratages.

Aujourd’hui, le nombre d’entreprises productrices d’objets connectés ne cesse de croître et les domaines d’utilisation sont vastes. C’est bien simple : tous les objets du quotidien, dans la sphère privée et professionnelle, peuvent l’être. Ainsi, de la machine à café aux jouets de vos enfants, de votre photocopieuse à vos outils de production, tout est susceptible de se transformer un jour ou l’autre en IoT. Et donc, de transmettre leurs données d’utilisation sur un serveur et une plateforme pour pouvoir les exploiter. Lesquels représentent tout autant de risques et de portes d’entrée aux pirates.

C’est ce qui est arrivé à 800 000 familles en 2017 avec un ours en peluche connecté. Sur le mode d’emploi de cet – a priori – inoffensif jouet, les parents pouvaient lire qu’un mot de passe simple était conseillé. Ceci a grandement facilité le travail des pirates qui ont alors pu s’introduire sur le serveur pour accéder aux données personnelles et aux conversations des utilisateurs. De sorte, ensuite, à leur demander une rançon, phénomène appelé ransomware. Une fois qu’une faille a permis l’attaque d’un premier objet, elle peut être répliquée sur tous les mêmes produits en circulation.

Risques financiers, violation de secrets industriels, intégrité personnelle, les conséquences des failles de sécurité s’avèrent redoutables. Et cela, au-delà même du « simple » hacking des ordinateurs ou des systèmes internes des entreprises. Plus grave encore, quand le piratage d’un objet connecté concerne le milieu médical ou la santé d’une personne. C’est le cas des pacemakers connectés, particulièrement vulnérables. Provoquer la mort par serveur interposé est aujourd’hui une éventualité.

Prendre en considération la notion de sécurité de vos appareils connectés devient donc primordial pour la pérennité de votre entreprise.  Et pour la confiance de vos clients. Il faut aussi comprendre que tous les objets connectés n’ont pas forcément besoin du même niveau de sécurité, certains sont plus sensibles, alors que d’autres ont des impacts limités.

Vous souhaitez en savoir plus sur Rtone ?

Security by design : pourquoi faut-il penser à la sécurité d’un objet connecté dès sa conception ?

La sécurité d’un objet connecté ne provient pas seulement de la force d’un mot de passe choisi par l’utilisateur. La sécurité va bien au-delà et se dessine/détermine en amont de la fabrication de l’objet. Car c’est là que se situe la première faille, la plus problématique, celle qui entraîne toutes les autres. A titre d’exemple, certains modules, appelés secure elements, constituent des boucliers physiques à intégrer à une carte électronique. Si ces secure elements ne sont pas intégrés à la conception électronique dès le départ, il ne sera plus possible de faire marche arrière après coup.

Le principe de Security by Design vise justement à intégrer les enjeux de sécurité dès la phase de conception. De cette manière, les boucliers sont intégrés dans l’ADN de l’objet. Pour y parvenir, Rtone identifie les risques en collaboration avec les entreprises, dès le démarrage d’un projet IoT. Et les étapes du process sont codifiées :

Analyse des risques pour déterminer la sécurité adaptée d’un objet connecté

Rtone détermine avec ses clients le niveau de risques, en fonction des objets à créer. Cela permet de connaître les éléments à sécuriser et les moyens à mettre en place. De sorte à adapter le niveau de sécurité. Cette première étape nécessite une connaissance accrue de l’univers du client, des produits ou services qu’il propose. On se pose ensuite la question de l’utilisation de l’objet. Le principe de Security by Design nécessite de connaître avec précision l’utilisation qui sera faite de l’objet : son contexte d’utilisation, son environnement, … De manière à pouvoir choisir l’architecture du logiciel et le niveau de sécurité adapté et requis.

Implémentation et tests pour valider la sécurité d’un objet connecté

Rtone passe ensuite à la phase d’implémentation du programme, développé à partir des éléments fournis par le client. Vient alors la mise en place des protocoles de sécurité, lesquels sont soumis à des tests automatiques.

Les autres tests consistent à détecter les vulnérabilités en attaquant le logiciel, à la manière d’un hacker. Ce pentest (test de pénétration) s’apparente à un audit de sécurité, effectué par une personne extérieure à la conception. Si l’intrusion s’avère impossible, Rtone valide le process une seconde fois.

Il est en effet fondamental d’intégrer l’aspect sécurité à votre projet IoT le plus en amont possible. Car si vous choisissez un protocole de communication sans possibilité de sécurisation, le projet devra être repris à zéro.

Les cybermenaces sont quotidiennes. Avec les objets connectés, les risques se multiplient, notamment en raison de la méconnaissance de certains dangers. L’objet n’est en effet pas seulement connecté à un réseau wifi ou 4G, mais à un serveur. Sécuriser cette connexion, ne lui transmettre que les informations essentielles au fonctionnement normal, doivent être pensés en amont. Être conscient des failles et des vulnérabilités de l’IoT est indispensable pour ne pas courir de risques. Lesquels peuvent avoir des conséquences graves sur votre métier, votre entreprise, votre vie privée. Dans la conception d’un objet connecté, tous les risques doivent être intégrés dès la phase de projet. Le principe de Security by Design est ainsi votre meilleur bouclier contre les attaques.

Chez Rtone, nous accompagnons vos projets, de la conception jusqu’à leur mise sur le marché, et nous vous aidons à sécuriser vos objets connectés le mieux possible. Contactez-nous pour en parler !

X