Une année en revue :12 considérations relatives à la sécurité de l'IoT

Du point de vue des consommateurs, les plus gros soucis de sécurité de l'IoT sont la confidentialité -en relation. Une famille peut craindre que leurs caméras de sécurité ne donnent à un étranger un aperçu de leur maison. Ou que les données collectées par leurs haut-parleurs intelligents sont vulnérables.

Bien que ces inquiétudes soient légitimes, elles ne correspondent pas aux modèles de menaces les plus courants ou représentent les risques de sécurité IoT les plus importants. Un attaquant ciblant des appareils IoT est plus susceptible de considérer ces appareils comme un moyen d'atteindre une fin. Peut-être pourraient-ils en exploiter des dizaines dans une attaque par déni de service distribué. Ou utilisez-les comme point de pivot pour atteindre des cibles plus intéressantes sur le réseau.

Lors d'une récente conférence au DEFCON à Las Vegas, Bryson Bort, PDG de Scythe, président du GRIMM et conseiller de l'Army Cyber ​​Institute à West Point a mis en lumière certaines des tendances les plus significatives dans le domaine de la cybersécurité liées à IoT et systèmes de contrôle industriel au cours de la dernière année.

1. L'attribution par l'État-nation est de plus en plus courante

Il n'y a pas si longtemps, les groupes criminels organisés semblaient être à l'origine de la grande majorité des cyberattaques. Mais maintenant, les acteurs des États-nations améliorent leur jeu, en recrutant parfois des talents de la pègre cybernétique.

Le rapport d'enquête sur les violations de données le plus récent de Verizon montre que le volume des violations attribuées aux groupes criminels organisés a considérablement diminué depuis 2015. Au cours de la même période, l'activité affiliée à l'État a augmenté.

À mesure que le niveau d'activité de l'État-nation augmente, les tentatives d'attribuer le pays à l'origine d'une attaque donnée se sont également multipliées. Alors que les chercheurs en cybersécurité se concentrent souvent sur l'aspect technique des attaques, Bort a déclaré qu'il est essentiel de comprendre le rôle des motivations probables des États-nations dans une attaque donnée.

2. Attaquer les appareils IoT en tant que point pivot est un réel souci

Le risque qu'un agresseur vous espionne lorsque vous sortez de la douche via une caméra connectée à Internet est réel. Mais ce type de violation ne correspond pas aux objectifs plus courants des acteurs de la menace de gain financier ou d'espionnage ciblant les entreprises ou le gouvernement.

Une menace plus importante, cependant, est l'utilisation d'appareils IoT pour des attaques latérales. La violation de nombreux appareils IoT de base est relativement banale et constitue un point de départ pour d'autres espionnages ou sabotages.

Le Microsoft Security Response Center a récemment signalé qu'il avait observé un acteur menaçant ciblant « un téléphone VOIP, une imprimante de bureau et un décodeur vidéo ». La motivation apparente de l'attaquant était d'accéder à une variété de réseaux d'entreprise. "Une fois que l'acteur avait réussi à établir l'accès au réseau, une simple analyse du réseau pour rechercher d'autres appareils non sécurisés lui a permis de découvrir et de se déplacer sur le réseau à la recherche de comptes plus privilégiés qui permettraient d'accéder à des données de plus grande valeur", rapport expliqué. Microsoft a attribué l'activité à un groupe qu'il appelle « Strontium », également connu sous le nom d'APT 28 de Fancy Bear. Le collectif aurait également été impliqué dans le piratage DNC en 2016.

3. L'espacement (toujours) n'existe pas

En théorie, un réseau aérien est physiquement isolé du reste du monde, ce qui le rend immunisé contre les attaques traversant Internet. En réalité, les organisations qui tirent parti d'une approche de sécurité par obscurité sont confrontées à un risque élevé de violation. « Quelqu'un a-t-il déjà vu un véritable entrefer ? » Bort a demandé. "Non, parce qu'ils n'existent pas vraiment. Pas une seule fois dans toute ma vie de test d'intrusion dans des environnements de contrôle industriel [n'en ai-je vu un]", a-t-il ajouté.

L'exemple le plus célèbre d'une violation d'un système prétendument à vide est probablement Stuxnet. Dans cette brèche, l'attaquant a pu accéder à un réseau au sein d'une installation nucléaire iranienne, probablement via une clé USB.

4. Le côté obscur de l'énergie verte est la cybersécurité

Le fait que le réseau électrique américain soit vulnérable à une cyberattaque a gagné en notoriété grâce aux efforts de journalistes chevronnés comme Ted Koppel, dont le livre de 2015 « Lights Out » couvre ce sujet. Toujours en 2015, des pirates informatiques prétendument russes ont pu fermer temporairement environ 230 000 personnes. Dans l'intervalle, les journaux américains ont publié une série d'articles affirmant que la Russie cible le réseau électrique américain. Plus récemment, des révélations anonymes indiquent que les États-Unis ciblent également la Russie.

La situation soulève la question de savoir pourquoi les pays du monde entier font un usage substantiel des technologies de l'information dans leurs réseaux électriques si cela introduit une multitude de nouvelles menaces.

Bort a demandé :« Pourquoi ne revenons-nous pas simplement à l'analogique ? »

Une partie de la réponse à la question est l'énergie verte. Une multitude de facteurs, des personnes du monde entier qui achètent des véhicules électriques à l'installation de panneaux solaires sur leur toit, ont fondamentalement changé l'équation de la distribution d'électricité. Il y a quelques décennies, le flux d'électrons d'une sous-station vers un consommateur était unidirectionnel. Mais maintenant, les consommateurs, grâce aux énergies renouvelables comme l'énergie solaire, contribuent désormais par intermittence à l'alimentation du réseau. "Maintenant, j'ai besoin d'ordinateurs pour gérer le réseau électrique exponentiellement plus complexe", a déclaré Bort.

5. Les États-nations ciblent de plus en plus les infrastructures critiques

La cyberguerre n'est peut-être pas nouvelle, mais les États-nations semblent intensifier leurs efforts pour cibler les systèmes de contrôle industriel et les infrastructures critiques de leurs rivaux. Ces infrastructures vont des machines à voter aux infrastructures hydrauliques et électriques.

En général, les États-nations ayant les divisions cybernétiques les plus avancées sont les États-Unis, le Royaume-Uni, Israël, la Russie, la Corée du Nord et l'Iran. Le Vietnam obtiendrait probablement une mention honorable, a déclaré Bort. « Au cours de la dernière année, nous avons vu les Vietnamiens mener un espionnage d'État-nation à un niveau extrême.

Plus tôt cette année, Bloomberg a rapporté que les "pirates informatiques vietnamiens "alignés sur l'État" ciblaient les constructeurs automobiles étrangers pour soutenir les initiatives de fabrication de véhicules en plein essor du pays.

6. Les cyberattaques aident à financer des pays isolés 

En 2017, le New York Times a rapporté que l'administration Trump avait demandé 4 milliards de dollars pour aider à financer des cyberarmes pour saboter les systèmes de contrôle des missiles de la Corée du Nord. Le financement soutiendrait également les drones et les avions de chasse pour faire tomber ces missiles du ciel avant qu'ils n'atteignent les côtes américaines. La même publication avait cité des sources anonymes affirmant qu'une cyber-campagne en cours ciblait les systèmes de missiles du pays depuis au moins 2014.

L'autre obstacle à cette histoire est un rapport de l'ONU qui révèle comment la Corée du Nord aide à financer son programme d'armement. Il indique que la nation a volé 2 milliards de dollars de fonds auprès d'institutions financières et d'échanges de crypto-monnaie.

Bort a déclaré qu'il est probable que la Corée du Nord ait utilisé le financement pour une série d'achats. « Personne ne se soucie de la monnaie [de la Corée du Nord]. Ils sont dans une économie fermée », a-t-il déclaré. « Si le cher chef veut du whisky et des Ferrari, il ne peut pas l'acheter avec la monnaie locale. Il a besoin de devises fortes », a-t-il ajouté. « Donc, leur principal motif du point de vue cybernétique est le vol. »

7. Une seule cyber-attaque peut causer des centaines de millions de dollars de dégâts

En termes stricts, WannaCry et ses variantes ne sont pas explicitement axés sur l'IoT ou l'ICS. Mais le malware, qui cible les systèmes d'exploitation Microsoft Windows, a causé des dommages similaires à ses victimes. WannaCry a montré qu'un logiciel malveillant pouvait perturber les opérations du National Health Service du Royaume-Uni. Le coût du logiciel malveillant pour le NHS, qui a également entraîné l'annulation de 19 000 rendez-vous, s'est élevé à 92 millions de livres sterling. Pendant ce temps, le cousin de WannaCry, NotPetya, a coûté au conglomérat d'expédition mondial entre 200 et 300 millions de dollars.

Après l'introduction du malware dans l'usine de fabrication via un fournisseur sensible, l'image dorée de l'usine était si ancienne qu'elle ne pouvait pas être corrigée. Après le déploiement de la variante WannaCry dans l'environnement, "elle a compromis tout ce qu'elle pouvait toucher et a détruit toute la plante", a déclaré Bort.

Alors que les États-Unis ont attribué WannaCry à la Corée du Nord, il est peu probable que l'État-nation ait l'intention d'infecter la plante. "Il s'agissait d'un fournisseur qui venait d'avoir une image infectée et l'a introduite", a déclaré Bort. "Je sais. C'est dingue."

8. Trisis devrait être un signal d'alarme

Comme WannaCry, Trisis a apparemment commencé en 2017. Les attaquants, qui, selon FireEye, ont des liens avec la Russie, ont utilisé une combinaison de campagnes de phishing et de points d'eau contre leurs victimes. Les assaillants ont d'abord ciblé I.T. infrastructure puis déplacé latéralement vers leur O.T. réseau, où ils ont attaqué le système instrumenté de sécurité dans une installation d'infrastructure critique. "C'est un gros problème", a déclaré Bort. "Dans les systèmes de contrôle industriel, [le SIS] fait fonctionner les capteurs et les ordinateurs en changeant les choses dans l'environnement physique."

Alors que les contrôleurs logiques programmables calculent ce qui devrait se passer dans l'environnement physique pour les contrôles industriels, "ce sont des ordinateurs stupides", a déclaré Bort. « Je n'ai pas besoin de pirater un automate. Tout ce que j'ai à faire est de dire à un automate ce qu'il doit faire. Ils ne me valident pas. Ils ne recherchent pas l'autorité. [..] "C'est ce que fait le SIS."

Alors que les premières victimes révélées de Trisis étaient basées au Moyen-Orient, CyberScoop rapporte que les auteurs de l'attaque ciblent désormais le réseau électrique américain.

9. Les campagnes d'infrastructures critiques s'intensifient

Il peut y avoir relativement peu d'exemples indiquant où de vastes pans de populations à travers le monde ont été touchés par des cyberattaques basées sur des infrastructures critiques. Mais un nombre croissant de pirates informatiques ciblent cette infrastructure. "Le point principal ici avec les attaques d'infrastructures critiques est qu'il s'agit de campagnes de renseignement itératives", a déclaré Bort. « Nous n’avons pas beaucoup de preuves que ce qui était censé être destructeur. Mais nous avons certainement la preuve de cette intention de [entrer] dans l'infrastructure. »

10. Les ransomwares ont le potentiel de cibler les appareils IoT

Les chercheurs en sécurité ont prouvé qu'il était possible de prendre en otage un ensemble d'appareils IoT. Mais alors que les ransomwares sont répandus, les attaquants qui les déploient ont tendance à cibler les appareils informatiques traditionnels.

Bort prédit qu'au cours des cinq prochaines années, les ransomwares se propageront à de nouveaux domaines basés sur l'IoT. "Je pense que quelque part dans le monde, quelqu'un va se réveiller le matin et va se rendre à sa voiture pour aller travailler", a-t-il déclaré. "La seconde où ils allument cette voiture, le système d'infodivertissement va apparaître avec :" Ransomware :envoyez 3 Bitcoins pour l'allumer. ""

11. Dans un monde connecté, les fournisseurs font partie du modèle de risque

L'année dernière, Bloomberg a fait des vagues en affirmant que la Chine avait infiltré la chaîne d'approvisionnement américaine en compromettant l'un des principaux fournisseurs mondiaux de cartes mères pour serveurs. L'histoire a été contestée par plusieurs dirigeants des grandes entreprises technologiques mentionnées dans l'article, notamment SuperMicro, Apple et Amazon, ainsi que par des représentants du département américain de la Sécurité intérieure et du National Cyber ​​Security Centre du Royaume-Uni.

Bien que les faits de l'article puissent être remis en question, ce qu'on appelle « vivre de la terre » est une menace. « Les attaquants n'apportent pas seulement leurs propres outils au jeu. Ils prennent ce qui est déjà là dans cet environnement et l'utilisent contre vous », a déclaré Bort. « Tout ce qui touche votre infrastructure fait partie de votre modèle de risque. Ce n'est plus seulement toi. »

12. Vos données prolifèrent. C'est comme ça qu'il est vendu.

« Saviez-vous qu'un téléviseur intelligent coûte moins cher qu'un téléviseur sans fonctionnalité intelligente ? » a demandé Bort lors de la session DEFCON. "Pourquoi donc? Ils gagnent de l'argent grâce à votre télémétrie et à vos données. »

Un article d'avril de Business Insider parvient à la même conclusion :« Certains fabricants collectent des données sur les utilisateurs et vendent ces données à des tiers. Les données peuvent inclure les types d'émissions que vous regardez, les publicités que vous regardez et votre emplacement approximatif."

Certains constructeurs automobiles déploient des tactiques similaires, a déclaré Bort. « Il existe de nombreux modèles pour lesquels les constructeurs automobiles examinent comment et ce qu'ils peuvent vous prendre lorsque vous conduisez votre voiture. »

Un rapport de la Commission d'examen de l'économie et de la sécurité américano-chinoise a fait part de ses inquiétudes concernant "l'accès non autorisé aux appareils IoT et aux données sensibles" du gouvernement chinois, ainsi que l'élargissement de "l'autorisation d'accès". Le rapport explique :"L'accès autorisé [de la Chine] aux données IoT des consommateurs américains ne fera que croître à mesure que les entreprises chinoises de l'IoT tireront parti de leurs avantages en matière de production et de coût pour gagner des parts de marché aux États-Unis."

Bort a déclaré que de nombreux appareils IoT grand public envoient des données à la Chine. « Si vous voulez vraiment vous amuser, branchez un appareil IoT dans votre maison, vérifiez les paquets et voyez où ils vont », a-t-il déclaré. « Je n'ai pas encore vu un seul appareil auquel je me suis connecté ne va pas en Chine. Maintenant, je ne dis pas que c'est infâme ou malveillant. Il est tout à fait normal que de tels appareils IoT transmettent des données au pays. Il a demandé :« Où sont-ils fabriqués ? »