FIC 2018 : Synthèse de la masterclass « 50 milliards de failles connectées »

Filtrer par catégorie :

05 Février 2018 by Julia Juvigny
La masterclass de digital.security

A l'occasion de la dixième édition du  Forum International de la Cybersécurité les 23 et 24 janvier derniers à Lille, notre chargée d'études et veilles, Julia Juvigny et le Directeur du CERT, Thomas Gayet ont fait le bilan des cyberattaques ayant impacté l’IoT ces deux dernières années et présentent plusieurs scénarios d’attaques possibles à court et moyen terme.


L'Internet des Objets, un secteur en pleinE expansion...

Apparu avec les premiers smartphones, l’IoT s’est progressivement démocratisé : en 2020, on estime à 50 milliards le nombre d’objets connectés en circulation. Évaluées à plus de 50 milliards en 2020, les applications de l’Internet des objets se traduisent par de nombreux usages concrets dans le quotidien : ampoules intelligentes, pacemakers connectés ou encore géolocalisation des navires marchands. Mais derrière cette course frénétique à l’innovation, il apparaît que les concepteurs d’objets connectés ont souvent négligé un enjeu fondamental : la sécurité. En effet, bon nombre de fabricants n’ont pas pris en considération cet aspect pour des raisons budgétaires ou par manque d’anticipation des risques informatiques. Or ceux-ci ne sont pas négligeables : espionnage, vols de données, formation de botnets, prise de contrôle d'équipements embarqués ou encore dérèglement de pompes à insuline…


... Et vulnérable

Les failles découvertes sur les dispositifs connectés sont liées principalement à l’absence de chiffrement que ce soit au niveau des communications, des données ou lors des mises à jour des micrologiciels. L’absence de mots de passe forts est également une belle opportunité  pour les criminels de pirater facilement ces objets. Par exemple, les caméras connectées et les solutions de domotique qui ont gardé leur mot de passe « usine » facilement devinable. La porosité des objets connectés en termes de sécurité conduit à la constitution d’immenses réseaux d’objets infectés, des botnets. Fin octobre 2017, le botnet IoTroop avait ainsi infecté plus d'un million d'équipements dans le monde dont des dispositifs d’établissements de santé.
 
À l’heure de l’informatique ubiquitaire et de la dissémination des dispositifs informatiques, la réponse en matière de sécurité doit se faire en des termes holistiques. Trop peu d’acteurs s’impliquent aujourd’hui concrètement dans le développement de solutions de sécurisation de l’IoT. Les normes qui permettraient d’unifier les pratiques de sécurité font cruellement défaut. Dans l’attente du développement de pratiques de sécurité communes, les acteurs de l’IoT peuvent aujourd’hui faire l’effort d’intégrer et de faire reconnaître la sécurité implémentée dans leurs solutions connectées, avec l’aide des experts du domaine. Adoptant une démarche holistique, la masterclass « 50 milliards de failles connectées » présente un état de l’art complet  de la sécurité IoT. Après une analyse des principales vulnérabilités de l’IoT, nous dressons le bilan des cyberattaques ayant impacté l’IoT ces deux dernières années et présentons plusieurs scénarios d’attaques possibles à court et moyen termes. L’objectif est de sensibiliser à la fois les acteurs clés du marché, concepteurs et régulateurs, mais également les particuliers, premières victimes collatérales du manque de fiabilité des objets connectés…