Juniper France Tech Blog
Showing results for 
Search instead for 
Do you mean 

Internet des objets : Etes-vous vraiment aux commandes ?

by Juniper Employee on ‎05-09-2017 05:08 AM

umbrella-158164_640.png

Il y a trois ans, le concept d’Internet des objets (Internet of Things ou IoT) était encore une nouveauté. On achetait des objets connectés parce qu’ils étaient à la mode ou pour le confort de vie qu’ils étaient censés nous procurer. Ce marché connaît une très forte croissance depuis et l’IoT a évolué. Presque tous les appareils sont dorénavant proposés avec cette nouvelle fonctionnalité, que l’on se procure un traditionnel smartphone ou une caméra de surveillance, voire même une cafetière ou encore un parapluie.

 

L’engouement général autour de l’IoT a stimulé la consumérisation du marché des objets connectés, à un rythme tel que les normes de sécurité en vigueur sont désormais dépassées. Ces objets connectés, de petite taille, le plus souvent simples et construits à moindres frais, ne permettent pas toujours l’implémentation de fonctions de sécurité. Quant à ceux pouvant être sécurisés, l’utilisateur final n’est pas toujours capable de les configurer correctement.

 

La demande pour ce type de produit a tiré les prix vers le bas, reléguant la sécurité au second plan. Certains fabricants prévoient un accès à distance pour permettre la mise à jour des micro logiciels, et d’autres munissent leurs objets de mesures de sécurité minimalistes par défaut. Sur de nombreux objets connectés, la mise en place de logiciels antivirus traditionnels supposerait obligatoirement l’ajout de composants supplémentaires et une connectivité accrue, ce qui se traduirait par une hausse des coûts de production.

 

Maintenant, réfléchissez à ces chiffres : En 2015, plus de 430 millions de logiciels malveillants ont été découverts, ce qui représente environ 13 nouveaux logiciels par seconde. Pour se protéger des attaques visant les objets connectés, il faut mettre en place un nouveau modèle de sécurité, capable de détecter et comprendre le fonctionnement du logiciel malveillant avant que celui-ci n’accède à l’objet. Les modèles traditionnels sont devenus inadaptés.

 

L’IoT est entré dans notre vie de multiples manières, bien plus que nous ne l’imaginions. Tout le monde connaît les casques de réalité virtuelle, les montres, les appareils photos ou même les thermostats connectés. En France, les décodeurs TV numériques sont largement répandus mais aviez-vous entendu parler des fours, des ampoules ou des sonnettes connectés ? Voire, dans un domaine plus sérieux, des dispositifs médicaux connectés comme Par exemple, des pacemakers ou des lecteurs de glycémie pour les personnes diabétiques. ?

 

Tous ces appareils conservent des données d’identité et d’utilisation (et dans certains cas des données financières). Certains possèdent des capacités de géolocalisation ou peuvent envoyer leurs données télémétriques dans le cloud. Sans adoption de mesures de standardisation, les attaques contre les objets connectés de grande consommation devraient se multiplier. Quand certaines attaques visent à dérober des identités ou des données personnelles, d’autres causent du tort à des entreprises, ou ralentissent leur activité.

 

N’oublions pas que ces objets sont simplement de petits ordinateurs et que 2016 nous a prouvé qu’ils pouvaient être reprogrammés à distance depuis Internet. Le ver Mirai s’est propagé rapidement causant des attaques DDOS (déni de service distribué) visant des sites Web publics et des fournisseurs de services. Et, plus récemment, des hackers ont mis en vente leurs services : « À vendre : réseau de zombies » incluant le contrôle de près de 600 000 appareils infectés par Mirai, tous préprogrammés et prêts à attaquer. Puisque les objets connectés ne possèdent pas, ou peu, de fonctions de sécurité intégrées, la surveillance de leurs communications, l’identification des menaces et leur neutralisation deviendront des étapes essentielles à la mise en place d’un dispositif de sécurité efficace. Cela suppose désormais que la surveillance et l’application de mesures de sécurité soient prises en charge aussi par les éléments d’un réseau, et non plus uniquement par des dispositifs dédiés à la sécurité.

 

Pour l’heure, nous n’apercevons que la partie émergée de l’iceberg. Nous pensons que des objets connectés pourraient jouer les espions chez les utilisateurs, au sein même de leur réseau domestique, pour y chercher des données et des informations non sécurisées. Nous devons également garder en tête qu’aujourd'hui presque tout le monde emporte et utilise des données professionnelles à son domicile. C’est pourquoi, il faut envisager une protection pour cet environnement, lui aussi potentiellement hostile.

 

Il en va de la responsabilité de l’entreprise de protéger ses données utilisateurs et son infrastructure réseau car, ensemble, ce sont elles qui contribuent à la notoriété et la réputation d’une marque. Dans les faits, l’IoT pénètre la sphère professionnelle et les entreprises ont besoin de protection et d’être alertées au plus vite des différents types de logiciels malveillants, en particulier ceux capables d’utiliser des objets connectés comme vecteurs d’attaque. Chez Juniper, nous possédons la solution Sky Advanced Threat Prevention (Sky ATP) qui utilise l’apprentissage automatique non seulement pour rechercher les traces visibles de logiciels malveillants mais aussi pour surveiller le trafic réseau depuis les pare-feu Juniper Networks® SRX. Par rapport à des équipements de sécurité classique ou des pare-feu seuls, les menaces cachées ou inconnues sont détectées et contrées plus rapidement et avec une meilleure précision.

 

En 2017, nous nous attendons à ce que le marché des objets connectés continue à innover et à se développer. Mais le manque de mesures de sécurité fondamentales dont souffrent ces objets nous amène cependant à prédire l’augmentation du nombre d’entreprises espionnées, du nombre de violations de sécurité réseau ainsi que du volume de données volées. Jusqu’à l’adoption de normes de sécurité plus strictes, c'est aux particuliers et aux entreprises qu’il incombe de décider si le lieu et le moment conviennent à l’utilisation d’objets connectés.

Certaines avancées en la matière sont parfaitement adaptées à l’utilisation en entreprise quand d’autres ne que des gadgets à la mode.

 

Selon moi, quand l’on regarde avec convoitise un objet connecté, ou quand l’on réfléchit plus largement à l’IoT, la réflexion à avoir ne doit pas se limiter à « Est-ce que je me lance ? », elle doit aussi intégrer « Comment me protéger quand je me lancerai ? »

Announcements
Juniper Networks Technical Books
About the Author
  • Arnaud holds his Master of Science from the French Engineering school ESEO in Angers. He gives regular talks at French universities and during industry conferences and is an active contributor to hackathons organized by RIPE Network Coordination Center and Juniper Networks, for example.
  • Cyrille LARRIEU joined Juniper Networks in 2011 as Senior Systems Engineer to work on Security portfolio for Campus & Branch, Data Center, and Service Provider environments. Prior to that he worked as a Security Specialist for Cisco Systems and Internet Security Systems. He has already accumulated 20 years experience in the security industry. Recently Cyrille Larrieu has been nominated as a Juniper press speaker for the security topic.
  • In Juniper for over 12 years, I started in NetScreen in late 2001 and followed all the NetScreen/ScreenOS and SRX/Junos evolution in this fast growing company, alongside with SSL/UAC and all management topics (NSM, Junos Space Security Director, STRM). Now focusing on several topics such as Application and DDoS protection, users and devices access control, carrier space such as LTE, Gi and Gp protection. I'm also interested in hooking all of these in a central management fashion, going down to SDN path. Integration security into virtualisation and SDN/NFV with Contrail and VMware, particularly with vSRX.
  • Laurence is passionate about technology, particularly cyber security. His depth and breadth of knowledge of the dynamic security landscape is a result of over twenty years’ experience in cyber security. He understands the security concerns businesses face today and can bring insight to the challenges they will face tomorrow. Laurence joined Juniper Networks in 2016 and is our senior security specialist in EMEA. Security throughout the network is a key area where Juniper Networks can help as business moves to the cloud and undertakes the challenge of digital transformation.
  • Olivier Melwig joined Juniper Networks in late 2006 as Systems Engineer to work on next generation of network architectures for Internet Service Providers in France and French speaking Africa. Since early 2011 he has been heading successively Systems Engineering team covering both SPs and Enterprise in France, then in 2014 Strategic Vertical and Commercial accounts in South Europe. Before, Olivier was IP Engineering manager for NOOS-Numericable cable operator, where he contributed actively to merge French cable networks nationwide during 6 years. Prior to that, he began his carreer as network consultant for major French Telecom SPs like France Telecom, Transpac or MCNSAT, Olivier holds an engineering degree in Telecom and Data networks from the Institut Supérieur d'Electronique de Paris.