Accueil Objets connectés - La cybermenace se précise

Objets connectés – La cybermenace se précise

Cisco s’attend à voir 50 milliards d’objets connectés à l’horizon 2020, autant d’objets présentant des faille de sécurité ou mal configurés qui constitueront une menace tant pour leurs utilisateurs que pour les infrastructures Internet dans leur ensemble.

 

Le 20 septembre dernier, une attaque massive par déni de service était lancée contre OVH, l’hébergeur faisant face à un pic d’un térabit par seconde. Plus récemment, une gigantesque attaque par des dizaines de millions d’objets connectés a été menée contre Dyn, gestionnaire de serveurs. Dans un cas comme dans l’autre, le coupable est Mirai, un botnet écrit pour les objets connectés. L’absence de sécurité des objets connectés présente un risque pour leurs utilisateurs, mais ceux-ci peuvent aussi être exploités par les pirates pour mener des attaques à grande échelle contre d’autres ressources.

Un ransomware qui s'exécute sur un thermostat connecté ? Un scénario plausible qui a été démontré lors de la dernière conférence DEF CON par PenTest Partners.
Un ransomware qui s’exécute sur un thermostat connecté ? Un scénario plausible qui a été démontré lors de la dernière conférence DEF CON par PenTest Partners.

La sécurité des objets connectés sur la sellette

Dans la course au Time to market, les industriels négligent bien souvent l’aspect cybersécurité de leur produit. Les problématiques de coût des composants et de consommation énergétique poussent les industriels à faire des compromis, bien souvent au détriment de la sécurité. “La sécurité de l’IoT, c’est la sécurité d’une solution complète, depuis l’objet, le protocole de transport avec ses passerelles opérateur, les serveurs backoffice et des applications client” explique Thomas Gayet, directeur du CERT-UBIK de Digital Security, filiale spécialisée en cybersécurité du groupe Econocom. “Il y a quelques années, il était très coûteux d’accéder aux protocoles de communication des équipements connectés” ajoute Thomas Gayet. “Aujourd’hui, avec la radio logicielle, une antenne TNT à 20$ permet d’accéder à l’ensemble des protocoles de communication IoT.”

Dans l’automobile ou l’aérien, la sécurité cyber est un enjeu capital puisque ce sont des vies qui sont en jeu. “Aujourd’hui, avec la connectivité, la sécurité devient un défi afin de s’assurer que les voitures ne seront pas hackées et que, si elles le sont, ce sera sans danger” souligne Thierry Viadieu, directeur de programme Véhicule connecté et autonome de Renault. “Tous les constructeurs automobiles constituent des équipes cybersésurité et l’“over the air update” va devenir une nécessité, car on ne pourra écrire aux propriétaires de véhicule de venir au garage à chaque fois qu’il faudra passer un patch de sécurité.”

EXPH-0617-29R

Un autre domaine où la cybersécurité fait peur, c’est le transport aérien. Pour qu’aucun de ses appareils ne puisse prendre l’air avec un logiciel corrompu, Airbus a mis en place la signature électronique avec la solution de Kenectis (aujourd’hui rebaptisée IDnomic). Colarie Heritier, PDG d’IDnomic explique : “Il y a quelques années, la PKI était utilisée pour authentifier les personnes, pour chiffrer et signer des données. Les usages évoluent aujourd’hui avec les nouveaux besoins des industriels, notamment chez Airbus avec l’avènement du tout connecté, autant pour les systèmes avioniques que les systèmes de distraction des passagers” Safran travaille avec Airbus Hélicoptères pour proposer une solution de signature en mode Saas pour tous les opérateurs de ses hélicoptères. “Que ce soit dans le monde automobile, du transport ou le monde Scala, il faut maintenant être capable d’assurer une confiance numérique de bout en bout” résume Laurent Porracchia, responsable de la sécurité numérique chez Safran.

 


 

Partage d’expérience

Stephane-Chopart-AirbusStéphane Chopart,
product Security Manager, Airbus Helicopters

 

« Safety & Security First ! »

 “Dans le monde aéronautique, la « Safety » fait partie de l’ADN des entreprises. Aujourd’hui vient s’y ajouter la sécurité. C’est maintenant Safety and security first ! La corruption des softwares avioniques est le scénario sur lequel nous avons travaillé le plus longtemps et nous avons mis la plupart de nos moyens. Avec la signature électronique, le but est que l’intégrité de tous les logiciels qui sont montés dans un avion ou un hélicoptère soit vérifiée. Nous signons aussi les outils qui exploitent les data, et l’hélicoptère lui aussi va signer les données qu’il renvoie au sol. Sur un hélicoptère, il n’y a que quelques dizaines de « software parts », mais sur un A380 ce sont plusieurs milliers de logiciels qui sont ainsi signés numériquement. »