IoT non sécurisé, vulnérabilités illimitées

Nous avons tous entendu l'expression "nous vivons dans un monde hyper-connecté". Nous avons accès à de vastes réserves d'informations et d'applications via un appareil dans notre poche. De plus en plus de nos données personnelles et même biométriques sont activement traitées dans le cloud pour fournir des informations sur le fonctionnement de notre corps.

Cependant, l'Internet des objets (IoT) n'est pas sans défis. En mettant plus d'appareils en ligne (en leur donnant une adresse IP et en les rendant adressables), nous augmentons activement la surface d'un monde piratable.

La croissance explosive de l'IoT s'est accompagnée d'une croissance explosive de l'abus d'appareils. Les appareils connectés qui nous ravissent avec des connaissances sur nos habitudes et nos modèles ont la capacité de porter atteinte à notre vie privée, d'assiéger notre identité et, dans les cas les plus extrêmes, de causer des dommages physiques réels par le biais de la cyberguerre.

Canal de rétroaction de l'IoT

Gartner a prévu que 322 millions d'appareils portables seraient vendus en 2017. Le bond massif de 48 % par rapport à 2015 est dû en partie à la vulgarisation de la technologie portable en tant que mode de vie. Au fur et à mesure que la technologie est intégrée dans notre vie quotidienne par la routine ou par habitude, nous sommes transformés en machines génératrices de micro-bio-données.

Les appareils et leur connectivité vont des très petits aux appareils dotés d'écrans et de fonctions interactives. Ce à quoi nous ne pensons probablement pas, c'est à la multitude d'appareils nécessaires pour avoir un canal de rétroaction.

À quoi sert une mesure si vous ne pouvez pas la voir ou apprendre ce qu'elle signifie ? Ces appareils génèrent une tonne d'e-mails transactionnels via nos téléphones et autres moniteurs de "sortie" afin que nous réalisions l'intérêt de mesurer notre activité quotidienne.

La messagerie générée par e-mail et IoT présente des opportunités uniques pour les hameçonneurs et les fraudeurs.

Chaque flux de courrier généré par un nouveau dispositif portable doit être sécurisé, car le phishing est incontestablement en augmentation.

Selon l'APWG (Anti-Phishing Working Group), les attaques de phishing ont bondi de 65 % entre 2015 et 2016.

Connexions infinies

Les événements dans ma maison génèrent des e-mails et des notifications push qui m'alertent en cas de mouvement ou lorsque mon promeneur de chien ramène mon chien à la maison après une promenade au parc. La nuit, des millions de personnes portent un Fitbit pour dormir afin de pouvoir surveiller, enregistrer et analyser leurs habitudes de sommeil.

Les jouets pour enfants sont surchargés de capacités numériques, animatroniques, et ils peuvent être consultés à distance pour une plus grande interactivité via Bluetooth et d'autres normes de communication.

Mon cuiseur sous vide dispose d'une connexion Wi-Fi et Bluetooth afin qu'il puisse indiquer à mon téléphone si la température du bain-marie change ou quand il est prêt à immerger les aliments. Le GPS de mon iPhone, combiné à une sangle de poitrine, se transforme en un tracker d'entraînement corporel total qui enregistre mon itinéraire sur Strava et combien j'ai souffert en grimpant sur le terrain vallonné de la Bay Area.

Sécurité marginale

Chaque appareil ajouté à l'IoT en plein essor est essentiellement capable de collecter et de transmettre des informations personnellement identifiables (PII). Les fabricants de ces appareils évoluent rapidement pour essayer d'introduire des appareils toujours plus intelligents et toujours plus sensibles qui couvrent toute la gamme de la biométrie à la domotique et à la connectivité automobile. Cependant, ces appareils introduisent tous de nouveaux risques et défis de sécurité dans un environnement déjà peu sécurisé.

Le compromis le plus célèbre d'un appareil de type IoT n'était peut-être pas du tout un appareil IoT, mais plutôt un réseau isolé. Le virus Stuxnet a paralysé une installation d'enrichissement nucléaire iranienne - un virus informatique a en fait causé des dégâts massifs dans le monde physique. Stuxnet était un exemple de cyberguerre que nous n'imaginions possible que dans les films. À plus petite échelle, mais infiniment plus tangible, des millions d'enregistrements vocaux d'enfants et de leurs parents ont fui via un ours en peluche connecté.

Chaque appareil IoT est essentiellement un point de terminaison accessible via une API ou tout autre moyen d'envoyer et de recevoir des informations.

Ce qui est extrêmement attrayant pour les hameçonneurs et les pirates, c'est la nature des appareils IoT : toujours allumés et profitant de la connexion la plus rapide disponible.

Chaque appareil nécessite que le point de terminaison soit sécurisé pour garantir qu'il ne peut pas être compromis et absorbé par un botnet capable de monter une attaque DDoS ou d'autres formes de contenu malveillant. Étant donné que la plupart des appareils sont fabriqués à l'étranger, il y a peu ou pas de surveillance sur la façon dont ces appareils sont construits ou sur les types de services qui y sont exécutés.

Sensibilisation accrue

Des organisations soucieuses de la sécurité comme Arbor Networks exploitent des données de pot de miel pour mesurer l'activité d'exploitation autour de l'IoT. De même, le groupe de travail sur la messagerie, les logiciels malveillants et la lutte contre les abus mobiles (M3AAWG) commence à prendre très au sérieux les menaces implicites dans une société connectée de manière exponentielle.

En avril 2017, M3AAWG a annoncé un nouveau groupe d'intérêt spécial IoT pour coordonner les efforts des membres dans la résolution des problèmes d'abus des appareils IoT compromis. Le nouveau groupe d'intérêt spécial développera des directives et des processus de réputation pour les fabricants d'appareils en plus de sensibiliser aux dangers de l'IoT non sécurisé.

La sécurité d'abord

À l'instar des sous-marins et de leur caractérisation "fonctionner en silence, fonctionner en profondeur", l'IoT, en tant que sous-secteur technologique en plein essor, doit placer la sécurité au premier plan de la marche vers une fabrication d'appareils plus innovante. Il ne fait aucun doute que l'IdO enrichit nos vies. Nous pouvons tous convenir que du téléphone mobile aux montres en passant par les trackers de fitness, nous sommes tous un peu plus intelligents grâce à cela, mais les protocoles et les politiques de sécurité doivent suivre le rythme.

En conséquence, la messagerie doit être sécurisée dans le cadre de la protection globale des données vers et depuis lesquelles ces appareils envoient quotidiennement. L'IoT a augmenté la quantité de données que nous sommes à l'aise d'ouvrir au monde extérieur et notre niveau de confort avec l'externalisation de détails sur nos routines. Mais en même temps, nous devons nous assurer que de mauvais acteurs n'entrent pas et n'utilisent pas ces données contre nous.

Si vous souhaitez en savoir plus sur les autres escroqueries spécifiques aux e-mails et sur la manière de vous protéger, consultez Phishing, Doxxing, Botnets et autres escroqueries par e-mail : ce que vous devez savoir.