Pourquoi 98 % du trafic IoT n'est pas crypté

98 % du trafic IoT n'est pas crypté . Quand j'ai lu cette statistique - publiée par Palo Alto Networks dans son rapport sur les menaces de l'Unité 42 2020 - j'aurais dû être choqué, déclare Mike Nelson, vice-président de la sécurité IoT chez DigiCert .

L'année dernière, un Z-Scaler rapport dit quelque chose de similaire :que 91 % du trafic IoT n'était pas crypté. Bien qu'il soit possible que ces chiffres ne soient pas vraiment représentatifs du vrai problème, une chose est sûre :beaucoup trop de trafic IoT n'est pas crypté alors que tout devrait l'être.

Le trafic IoT non crypté signifie de toute évidence que les attaquants peuvent effectuer des attaques Man in The Middle (MiTM). En puisant dans ce flux de données non crypté, les attaquants peuvent s'interposer entre les appareils (ou l'appareil et le réseau plus vaste) et voler ou modifier les données.

Les défaillances de la sécurité de l'IoT sont bien documentées. Les appareils connectés sont souvent rapidement mis sur le marché par des fabricants qui font des erreurs de sécurité douloureusement évidentes, mais surtout facilement évitables, dans le processus de conception. Ils sont ensuite rachetés avec empressement par des entreprises qui souvent ne tiennent pas compte de ces défauts et déployés dans des réseaux par ailleurs sécurisés. À partir de là, les attaquants les découvrent via une recherche simpleshodan et trouvent un point de brèche facile dans une entreprise.

Et pourtant, quel que soit l'état de sa sécurité, l'IoT croît avec voracité. McKinsey estime qu'il y aura 43 milliards d'appareils IoT connectés à Internet d'ici 2023. Si les tendances actuelles se poursuivent - et que 98 % du trafic IoT n'est pas crypté - cela alimentera la frénésie des cybercriminels.

Souvent, lorsque les gens pensent à un piratage IoT - ils pensent à une poupée ou à une sonnette vulnérable - des attaques qui exploitent les fonctionnalités d'un appareil - intéressantes mais finalement fantaisistes. Les vraies menaces sont beaucoup moins colorées. Les déploiements IoT d'entreprise sont souvent constitués de centaines, voire de milliers d'appareils individuels. Si un seul de ces appareils restait exposé, il pourrait constituer un point de rupture facile vers un réseau par ailleurs sécurisé.

On peut en voir un exemple dans une désormais célèbre violation de l'IoT à Las Vegas. En 2017, des pirates ont utilisé un aquarium pour effectuer un cambriolage de casino. L'aquarium en question était connecté à Internet via un capteur qui permettait à ses opérateurs de faire fonctionner et de contrôler à distance l'aquarium. Cependant, peu de temps après son installation, le personnel de sécurité a remarqué que l'aquarium envoyait des données à un serveur distant en Finlande. Une enquête plus approfondie a révélé une violation massive :des pirates informatiques avaient utilisé cet aquarium pour exfiltrer 10 Go de données de la base de données des gros joueurs du casino.

Le piratage a révélé trois points urgents. Premièrement, que les informations volées n'étaient pas cryptées sur le système du casino et disponibles pour que les attaquants puissent simplement les récupérer. Deuxièmement, le casino n'avait pas suffisamment de contrôles d'accès et d'authentification pour empêcher les attaquants d'accéder à certaines des informations les plus sensibles qu'ils détenaient depuis cet appareil IoT. Enfin, cet aquarium était connecté au réseau plus large du casino et, en exploitant les faiblesses de ce produit, ils pouvaient se connecter et voler une horde de données sensibles.

Les conséquences de telles attaques peuvent varier d'une fuite de données financières ou client à des attaques sur des infrastructures critiques. Pensez aux dommages causés par les pannes de réseau électrique à grande échelle, les pannes d'Internet, la fermeture des systèmes de santé à l'échelle nationale et l'accès aux soins intensifs. La liste continue.

Accéder au cryptage à 100 %

IoT ou pas IoT – toutes les données confidentielles doivent être cryptées. Tout cela – Tout ce qui dépasse 0 % est inacceptable. Vous pourrez peut-être faire de petites tolérances pour les erreurs ici et là, mais toutes les données qui ne sont pas cryptées sont susceptibles d'être compromises.

Ce qui ne veut pas dire que cela ne vient pas avec ses propres défis. La nature des données modernes est qu'elles évoluent constamment – ​​du hub à la passerelle, de la passerelle au cloud et au-delà. Cela rend les choses plus complexes car les données doivent être chiffrées à la fois au repos et en vol.

C'est particulièrement vrai avec les réseaux IoT d'entreprise, qui sont généralement constitués d'une série de différents points de terminaison, capteurs et appareils envoyant constamment des données dans les deux sens entre ses différentes parties. Une fissure dans ce réseau peut laisser entrer un attaquant, ce qui en fait non seulement une zone particulièrement sensible, mais aussi une zone particulièrement critique à corriger.

Les infrastructures à clé publique (PKI) avec des certificats numériques commencent à résoudre ce problème. Étant donné que la PKI peut fournir une authentification mutuelle entre les différents nœuds de grands réseaux et crypter le flux de données, à une échelle énorme adaptée à l'IoT, les entreprises commencent à la saisir comme un moyen de sécuriser leurs grands déploiements IoT.

Bien que l'industrie progresse et que les entreprises, les praticiens et les régulateurs de premier plan prennent des mesures pour travailler ensemble et améliorer la sécurité de ces appareils, nous avons encore un long chemin à parcourir. Nous avons besoin de plus de fabricants pour donner la priorité à la sécurité et mettre en œuvre les meilleures pratiques – chiffrement, authentification et intégrité pour n'en nommer que quelques-uns – et la mise en œuvre ne peut pas être incrémentielle. Ce ne sera pas suffisant.

Le chiffrement à grande échelle est ce dont les entreprises ont besoin pour sécuriser le trafic IoT. Les principaux fabricants en prennent note et mettent en œuvre la PKI. Espérons que le reste se rattrape. Et bientôt.

L'auteur est Mike Nelson, vice-président de la sécurité IoT chez DigiCert .

À propos de l'auteur

Mike Nelson est le vice-président de la sécurité IoT chez DigiCert, un fournisseur de sécurité numérique. Dans ce rôle, Mike supervise le développement stratégique du marché de l'entreprise pour les diverses industries d'infrastructures critiques sécurisant les réseaux hautement sensibles et les appareils Internet des objets (IoT), y compris les soins de santé, les transports, les opérations industrielles et les implémentations de réseaux intelligents et de villes intelligentes.

Mike consulte fréquemment des organisations, contribue à des reportages médiatiques, participe à des organismes de normalisation de l'industrie et s'exprime lors de conférences de l'industrie sur la façon dont la technologie peut être utilisée pour améliorer la cybersécurité des systèmes critiques et des personnes qui en dépendent.

Mike a passé sa carrière dans l'informatique des soins de santé, notamment au département américain de la Santé et des Services sociaux, GE Healthcare , et Leavitt Partners - une société de conseil en soins de santé. La passion de Mike pour l'industrie découle de son expérience personnelle en tant que diabétique de type 1 et de son utilisation de la technologie connectée dans son traitement.