4 défis de sécurité IoT auxquels nous sommes confrontés en 2015

Alors que l'Internet des objets (IoT) et les appareils connectés gagnent rapidement en popularité et en traction, la sécurité est devenue une priorité. L'époque où la sécurité était une réflexion après coup pour les appareils « intelligents » est révolue depuis longtemps. Aujourd'hui, les problèmes de sécurité sont au premier plan des préoccupations des développeurs. Les développeurs sont formés pour gérer les défis de sécurité de l'IoT, et la communauté Blackhat en parle davantage sur l'exploitation de ces types d'appareils. Il y a même une sous-conférence à Blackhat 2015 qui visera à extraire, analyser et, à toutes fins utiles, pirater les appareils IoT dans le but de former les développeurs à la prévention des vulnérabilités de sécurité IoT.

Chez Link Labs, nous pensons qu'il y a quatre défis de sécurité importants auxquels la communauté IoT est confrontée en 2015 , et nous les avons résumés ici.

VOIR AUSSI : Les 2 commentaires de la sécurité IoT

1. Des appareils compatibles Wi-Fi sont ajoutés sur des réseaux locaux (LAN) sans sécurité appropriée.

C'est la plus grande menace pour la sécurité de l'IoT. Lorsque les points de terminaison basés sur TCP/IP sont autorisés sur un réseau local sans protocoles de sécurité au niveau de l'entreprise en place, le risque est grand.

Pour illustrer comment cela pourrait (et se produit) avec les produits IoT, imaginez que quelqu'un a acheté un appareil avec un module Wi-Fi qui prend son aquarium normal et en fait un aquarium « intelligent ». Si quelqu'un achète ce produit et l'autorise sur son réseau local, il a désormais autorisé un point de terminaison potentiellement malveillant derrière son pare-feu.

Voici le problème :les pare-feu et les NAT sont la première ligne de défense d'un réseau contre les attaques directes de l'hôte, et si vous ajoutez quelque chose à l'intérieur de votre réseau local, il se trouve déjà derrière le pare-feu. Une fois cet aquarium intelligent installé, il peut atteindre et se connecter à des serveurs malveillants. Ce processus est connu sous le nom de « tunnelage inversé », car le périphérique à l'intérieur du pare-feu peut établir une connexion sortante via le pare-feu et ouvrir une connexion socket plus facilement qu'une connexion entrante. Les pare-feu ne bloquent pas la plupart des demandes sortantes, car il serait difficile d'utiliser la plupart des applications autrement.

Un mauvais logiciel n'est pas le seul défi ici - de mauvaises personnes pourraient également être en jeu. En d'autres termes, les créateurs de l'aquarium intelligent pourraient avoir une intention malveillante et ils pourraient vouloir exploiter tous les réseaux sur lesquels ils peuvent mettre la main. Les produits IoT ne bénéficient tout simplement pas d'une sécurité robuste du système d'exploitation (OS). La plupart des principaux systèmes d'exploitation, comme ceux créés par Apple et Microsoft, rendent très difficile l'exploitation d'un système, même à partir d'un réseau local. Cela ne veut pas dire que cela ne peut pas arriver régulièrement, mais c'est plus difficile. Mais avec les produits IoT, puisque la plupart utilisent un système d'exploitation moins sophistiqué, la seule chose sur laquelle les consommateurs doivent se fier est que les personnes qui leur ont vendu l'appareil compatible Wi-Fi l'ont fait avec de bonnes intentions.

2. Il existe des problèmes d'évolutivité et de patchabilité des points de terminaison IoT.

L'un des avantages de Mac et Windows OS est qu'ils sont complètement configurés et régulièrement mis à jour. Ils ont tous deux une possibilité de mise à niveau automatique. Ainsi, lorsque le système d'exploitation de votre ordinateur doit être réparé en raison d'une faille de sécurité, il peut être mis à jour ou « corrigé » automatiquement.

Avec les appareils IoT, il appartient aux entreprises qui les ont vendus de mettre en place un mécanisme pour tout type de vulnérabilités de sécurité liées aux correctifs. Le problème est que cela peut ou ne peut jamais arriver. Ce n'est pas un problème nouveau, mais c'est quand même un problème. (En fait, l'industrie de l'équipement de réseau a traité—et est toujours faire face au même problème, car parfois les routeurs, etc., ont des vulnérabilités qui ne sont pas corrigées avant qu'il n'y ait un problème de sécurité.)

Dans cet article de VentureBeat, l'auteur Michael Coates déclare que « le déploiement efficace des correctifs est un gros problème » pour l'IoT. Il explique que certaines failles de sécurité passeront inaperçues, mais que d'autres seront découvertes et que les consommateurs exigeront une solution. Il poursuit en expliquant comment un scénario comme celui-ci peut se dérouler et pourquoi c'est troublant :

« Dans ces situations, un fabricant peut se démener pour publier un correctif. Mais alors quoi ? Comment le correctif est-il réellement livré à l'appareil ? Tous les clients seront-ils invités à redémarrer leur four, leur voiture ou leur stimulateur cardiaque et à suivre un processus de mise à jour ? Ou le logiciel mis à jour ne sera-t-il disponible que dans la prochaine version du produit physique ? Cela signifierait que les clients n'auraient pas de correctif jusqu'à ce qu'ils achètent un nouveau grille-pain, un nouveau moniteur pour bébé, etc. Malheureusement, l'un de nos défis actuels avec l'IoT est que, même si un correctif est publié, il n'existe pas de canal efficace pour atteindre la majorité des appareils. en temps opportun. »

En résumé, plus il y a d'éléments ajoutés à un réseau local, plus les problèmes de sécurité sont importants. Nous gardons espoir que l'industrie créera une sorte de norme concernant les attentes en matière de correctifs de sécurité pour les appareils IoT.

3. Des problèmes sont survenus concernant la protection de l'accès physique.

Revenons à l'exemple de notre application d'aquarium intelligent. Les consommateurs n'en tiennent souvent pas compte, mais avec n'importe quel appareil physique, il est possible qu'un pirate informatique puisse le manipuler et accéder aux ports USB exposés ou à une interface de débogueur. Si quelqu'un parvient à pirater au niveau intégré la mémoire d'un appareil IoT et peut lire la clé de chiffrement, chaque appareil qui est ou a été expédié devient vulnérable. Il s'agit d'un réel problème à la fois pour les consommateurs et pour l'industrie dans son ensemble.

4. Il y a une tonne de battage médiatique de la part des développeurs et des consommateurs.

Parce qu'il y a une presse si fréquente et intense autour de l'Internet des objets, il y a une urgence parmi les entreprises à commercialiser plus rapidement leurs appareils IoT. Alors que le battage médiatique actuel fait, d'une part, avancer l'innovation, il met également les développeurs dans un délai serré. Lorsque le temps presse et que tous les efforts sont concentrés sur un déploiement rapide, la sécurité peut devenir une réflexion après coup. Lorsque cela se produit, les appareils IoT peuvent être commercialisés avec un cryptage médiocre, des systèmes d'exploitation non corrigés, etc.

Vous pouvez voir comment la sécurité IoT est devenue sa propre discipline et est un problème tout aussi important que la sécurité réseau standard. L'IoT a quitté le « stade précoce » du développement, et avec sa popularité grand public, il est de la responsabilité de protéger les informations des consommateurs. Les développeurs de produits et les consommateurs prennent et doivent prendre ces problèmes au sérieux.