Juniper France Tech Blog
Juniper France Tech Blog
Internet des objets : Etes-vous vraiment aux commandes ?
05.09.17

umbrella-158164_640.png

Il y a trois ans, le concept d’Internet des objets (Internet of Things ou IoT) était encore une nouveauté. On achetait des objets connectés parce qu’ils étaient à la mode ou pour le confort de vie qu’ils étaient censés nous procurer. Ce marché connaît une très forte croissance depuis et l’IoT a évolué. Presque tous les appareils sont dorénavant proposés avec cette nouvelle fonctionnalité, que l’on se procure un traditionnel smartphone ou une caméra de surveillance, voire même une cafetière ou encore un parapluie.

 

L’engouement général autour de l’IoT a stimulé la consumérisation du marché des objets connectés, à un rythme tel que les normes de sécurité en vigueur sont désormais dépassées. Ces objets connectés, de petite taille, le plus souvent simples et construits à moindres frais, ne permettent pas toujours l’implémentation de fonctions de sécurité. Quant à ceux pouvant être sécurisés, l’utilisateur final n’est pas toujours capable de les configurer correctement.

 

La demande pour ce type de produit a tiré les prix vers le bas, reléguant la sécurité au second plan. Certains fabricants prévoient un accès à distance pour permettre la mise à jour des micro logiciels, et d’autres munissent leurs objets de mesures de sécurité minimalistes par défaut. Sur de nombreux objets connectés, la mise en place de logiciels antivirus traditionnels supposerait obligatoirement l’ajout de composants supplémentaires et une connectivité accrue, ce qui se traduirait par une hausse des coûts de production.

 

Maintenant, réfléchissez à ces chiffres : En 2015, plus de 430 millions de logiciels malveillants ont été découverts, ce qui représente environ 13 nouveaux logiciels par seconde. Pour se protéger des attaques visant les objets connectés, il faut mettre en place un nouveau modèle de sécurité, capable de détecter et comprendre le fonctionnement du logiciel malveillant avant que celui-ci n’accède à l’objet. Les modèles traditionnels sont devenus inadaptés.

 

L’IoT est entré dans notre vie de multiples manières, bien plus que nous ne l’imaginions. Tout le monde connaît les casques de réalité virtuelle, les montres, les appareils photos ou même les thermostats connectés. En France, les décodeurs TV numériques sont largement répandus mais aviez-vous entendu parler des fours, des ampoules ou des sonnettes connectés ? Voire, dans un domaine plus sérieux, des dispositifs médicaux connectés comme Par exemple, des pacemakers ou des lecteurs de glycémie pour les personnes diabétiques. ?

 

Tous ces appareils conservent des données d’identité et d’utilisation (et dans certains cas des données financières). Certains possèdent des capacités de géolocalisation ou peuvent envoyer leurs données télémétriques dans le cloud. Sans adoption de mesures de standardisation, les attaques contre les objets connectés de grande consommation devraient se multiplier. Quand certaines attaques visent à dérober des identités ou des données personnelles, d’autres causent du tort à des entreprises, ou ralentissent leur activité.

 

N’oublions pas que ces objets sont simplement de petits ordinateurs et que 2016 nous a prouvé qu’ils pouvaient être reprogrammés à distance depuis Internet. Le ver Mirai s’est propagé rapidement causant des attaques DDOS (déni de service distribué) visant des sites Web publics et des fournisseurs de services. Et, plus récemment, des hackers ont mis en vente leurs services : « À vendre : réseau de zombies » incluant le contrôle de près de 600 000 appareils infectés par Mirai, tous préprogrammés et prêts à attaquer. Puisque les objets connectés ne possèdent pas, ou peu, de fonctions de sécurité intégrées, la surveillance de leurs communications, l’identification des menaces et leur neutralisation deviendront des étapes essentielles à la mise en place d’un dispositif de sécurité efficace. Cela suppose désormais que la surveillance et l’application de mesures de sécurité soient prises en charge aussi par les éléments d’un réseau, et non plus uniquement par des dispositifs dédiés à la sécurité.

 

Pour l’heure, nous n’apercevons que la partie émergée de l’iceberg. Nous pensons que des objets connectés pourraient jouer les espions chez les utilisateurs, au sein même de leur réseau domestique, pour y chercher des données et des informations non sécurisées. Nous devons également garder en tête qu’aujourd'hui presque tout le monde emporte et utilise des données professionnelles à son domicile. C’est pourquoi, il faut envisager une protection pour cet environnement, lui aussi potentiellement hostile.

 

Il en va de la responsabilité de l’entreprise de protéger ses données utilisateurs et son infrastructure réseau car, ensemble, ce sont elles qui contribuent à la notoriété et la réputation d’une marque. Dans les faits, l’IoT pénètre la sphère professionnelle et les entreprises ont besoin de protection et d’être alertées au plus vite des différents types de logiciels malveillants, en particulier ceux capables d’utiliser des objets connectés comme vecteurs d’attaque. Chez Juniper, nous possédons la solution Sky Advanced Threat Prevention (Sky ATP) qui utilise l’apprentissage automatique non seulement pour rechercher les traces visibles de logiciels malveillants mais aussi pour surveiller le trafic réseau depuis les pare-feu Juniper Networks® SRX. Par rapport à des équipements de sécurité classique ou des pare-feu seuls, les menaces cachées ou inconnues sont détectées et contrées plus rapidement et avec une meilleure précision.

 

En 2017, nous nous attendons à ce que le marché des objets connectés continue à innover et à se développer. Mais le manque de mesures de sécurité fondamentales dont souffrent ces objets nous amène cependant à prédire l’augmentation du nombre d’entreprises espionnées, du nombre de violations de sécurité réseau ainsi que du volume de données volées. Jusqu’à l’adoption de normes de sécurité plus strictes, c'est aux particuliers et aux entreprises qu’il incombe de décider si le lieu et le moment conviennent à l’utilisation d’objets connectés.

Certaines avancées en la matière sont parfaitement adaptées à l’utilisation en entreprise quand d’autres ne que des gadgets à la mode.

 

Selon moi, quand l’on regarde avec convoitise un objet connecté, ou quand l’on réfléchit plus largement à l’IoT, la réflexion à avoir ne doit pas se limiter à « Est-ce que je me lance ? », elle doit aussi intégrer « Comment me protéger quand je me lancerai ? »