Notes d'Experts

Retrouvez l'ensemble des Notes d'Expert

Les objets connectés ou IoT : les risques en terme de sécurité

Les objets connectés ou IoTs sont très à la mode et font beaucoup parler d’eux. Leur prolifération dans notre  vie de tous les jours est un fait incontestable mais ils inquiètent aussi beaucoup les responsables sécurité des systèmes d’information. Tout d’abord parce qu’ils ont fait parler d’eux en fin d’année 2016 avec les attaques de DDoS délivrées par le botnet Mirai mais aussi par le nombre de vulnérabilités découvertes sur ce type d’équipements, comme par exemple lors de DEF CON en Septembre.

 

Qu’ont-ils de particulier et pourquoi s’en préoccuper ?

  • Ces équipements ne sont pas des PCs, ils ont été conçus pour une ou plusieurs tâches simples, leur puissance de calcul ainsi que les composants/librairies fournis avec le firmware sont relativement limités.
  • Ces différents objets sont extrêmement variés par leur forme, leur taille et donc aussi leurs capacités, leur moyen de connexion, leur OS. leur seul  dénominateur commun est l’utilisation du protocole IP
  • Cette prolifération et cette diversité rendent leur gestion difficile (surveillance, mise à jour etc…). De plus, leur philosophie de fonctionnement, basée sur l’autonomie, s’allie peu souvent avec un pilotage centralisé.
  • Par définition ces objets sont connectés, que ce soit à Internet ou à votre réseau d’entreprise. Ils sont donc extrêmement joignables à distances mais ils peuvent également joindre facilement vos ressources informatiques.
  • La sécurité n’est pas la priorité dans le développement de ces produits (comme bien souvent lors des phases de démarrage de « nouvelles » technologies comme la VoIP, les imprimantes connectées ou les réseaux industriels …).
  • Comme nous avions pu le démontrer avec la vulnérabilité « Misfortune Cookie » (CVE-2014-9222), l’un des problèmes majeurs de sécurité intrinsèque est lié à la conception par assemblage de briques opensource ou commerciales. C’est ainsi qu’une vulnérabilité vieille de 9 ans sur un composant web s’est retrouvée en 2014 sur plus d’un million de routeurs de 200 modèles différents

Quelles sont alors  les bonnes pratiques et les moyens de se protéger ?

  • Le premier conseil est de ne pas les oublier et de ne pas faire l’autruche. Ils existent et pas uniquement dans l’appartement de geeks ou à leur poignet mais aussi sur votre réseau. N’avez-vous pas de caméras de surveillance, une climatisation ou des portes surveillées ou pilotées à distance, par exemple ?
  • Commencer comme toute analyse de risques, par en faire l’inventaire et les catégoriser selon leur niveau de sécurité (pas simple), leur maitrise par l’entreprise, leur interconnexion avec d’autres systèmes plus critiques ou plus ouverts (internet ?).
  • Segmenter ensuite et cloisonner les différents réseaux hébergeant ces objets. Un réseau de sondes, par exemple, et par définition extrêmement distribué ne doit pas permettre de compromettre votre base clients ou votre production. Pour permettre cette segmentation, le firewall doit être à même de comprendre les protocoles spécifiques tels que MQTT.
  • Bien entendu, l’ensemble des bonnes pratiques liées à tous les systèmes informatiques s’appliquent aussi ici : changer le mot de passe par défaut, utiliser un mot de passe robuste, changer ce mot de passe  régulièrement, chiffrer si possible les communications, activer les mises à jours automatiques si elles existent (!) etc…

En revanche, comme nous l’avons mentionné plus tôt, ces équipements ne sont pas des PCs et la stratégie de défense  employée depuis des années sur les postes de travail basée sur un logiciel installé permettant différentes fonctions (Anti-Virus, Firewall, VPN, IPS, chiffrement etc…) n’est pas envisageable ni en terme de puissance disponible ni en terme d’uniformité des systèmes.

La solution ne vient-elle pas alors de leur principe commun : le réseau, internet et le cloud ?

C’est en effet ainsi que Check Point développe sa stratégie de sécurisation des objets connectés en s’appuyant sur le Cloud et les solutions de protections dans le Cloud (SaaS) d’ores et déjà éprouvées. L’idée étant que toute communication entre  ces objets connectés et le monde extérieur  ouvert se fasse au travers du point de présence (PoP) Capsule Cloud  le plus proche ou le plus disponible

Ces communications bénéficient alors des meilleures protections développées par Check Point depuis 23 ans et fournies aux entreprises de toute taille et aux utilisateurs les plus exigeants dans le monde entier.

C’est aussi avec cette vision que nous avons récemment noué un partenariat avec la fillale de Sony, Altair, pour faire en sorte que ses communications sécurisées entre les objets connectés et  le cloud  Check Point puissent se faire grâce au chipset de communication embarqué  dans l’IoT.

 

© 2019 Check Point. All Rights Reserved. Designed By CheckPointFrance