L’interdépendance croissante des systèmes et services IoT crée des vulnérabilités qui rendent «les pannes en cascade» presque inévitables, assure le consultant en sécurité David Alexander. L’internet des objets (IdO) pourrait être un cas de « plug and pray » une fois de plus, si les parties prenantes ne parviennent pas à dépasser leur attention sur le fait de saisir des parts de marché pour se diriger au plus vite vers la sécurité de l’information, met en garde un consultant.
«Il y a peu ou pas de sécurité efficace», a déclaré David Alexander, managing consultant chez PA Consulting, lors du Crest Con and PSII Congress 2016 à Londres, le 10 Mars dernier.
« Il y a aussi beaucoup de déploiement sans planification de la façon dont tout cela va fonctionner et beaucoup d’accaparement de parts de marché, » a-t-il dit, ce qui signifie que les entreprises sont plus préoccupées par la commercialisation de produits sur le marché que le fait de s’assurer que ces produits sont sécurisés.
L’idée d’appareils intelligents et connectés n’est une nouvelle, at-il dit, mais la technologie a évolué au point où elle est prête pour que ces dispositifs inondent les mondes industriels et grand public.
Au Royaume-Uni, l’un des réseaux les plus importants IdO sera le réseau de compteurs intelligents, qui verra la mise en œuvre d’environ 53 millions de compteurs intelligents pour le gaz et l’électricité en 2021.
« Cela fournira une énorme épine dorsale pour la connectivité des compteurs intelligents afin qu’ils puissent communiquer les uns avec les autres, nous l’espérons en toute sécurité», a déclaré David Alexander.
Mais, dit-il, cela fournira également une infrastructure qui beaucoup de gens vont à commencer à utiliser pour relier les objets, et cela sera probablement commercialisé sans que nous soyons encore capable de l’imaginer, en ajoutant un réseau IoT d’un fournisseur énergétique à l’Internet sous peu.
À plus long terme, David Alexander a déclaré les fournisseurs d’électricité vont chercher à communiquer avec des appareils afin qu’ils puissent être mis hors tension lors d’un pic de demande, mais cela pourrait ajouter une autre série de failles de sécurité, parce que même si les compteurs intelligents sont sécurisés, ce sont probablement les appareils connectés en IP tels que les machines à laver qui ne sont pas sécurisées.
Les fabricants ignorent la sécurité des appareils connectés à Internet
En regardant ne serait-ce que le marché grand public, David Alexander assure que les appareils connectés occupent déjà une présence croissante dans de nombreux foyers, mais la plupart des consommateurs ne comprennent pas les risques de sécurité associés à ces produits et estiment que le constructeur ou le fournisseur a pris soin de cela.
« Cependant, de nombreux constructeurs IdO, lorsqu’on leur demande ce qu’ils ont l’intention de faire en termes de sécurité, la réponse est «rien», car cela ajoute du temps et des coût et généralement ils ne veulent pas le faire», a-t-il dit.
En conséquence, les consommateurs placent leur confiance chez des constructeurs qui n’ont actuellement aucune incitation réelle de s’assurer que les appareils IdO sont sécurisés. Dans le même temps, les consommateurs n’ont aucune idée des données qui sont collectées ou comment ces données sont utilisées.
David Alexander dit, en fonction de son opinion personnelle, que c’est la preuve que les fabricants, soit ne se soucient pas de la sécurité ou ne comprennent pas la sécurité. De toute façon, il dit que les fabricants de dispositifs IdO généralement ne testent pas la sécurité correctement et ont tendance à penser que c’est le problème de quelqu’un d’autre.
« Ces produits ont toutes sortes de failles/trous en eux qui les transforment en une cible facile, et le problème est que beaucoup d’entre eux sont en cours de déploiement»
La réticence des fabricants à aborder les questions de sécurité, a-t-il dit, est illustré par Trane, qui a été alerté de graves défauts de sécurité dans son thermostat Comfortlink II en Avril 2014, y compris les mots de passe SSH codés en dur, et pourtant cette question particulière n’a été résolue qu’un an plus tard, et la compagnie a encore huit mois pour corriger les vulnérabilités restantes.
«Quand Trane a finalement corriger les vulnérabilités, il n’a pas alerté ses clients, donc ceci est un exemple classique des problèmes auxquels les gens sont confrontés, et quand ils ont ces dispositifs, ils ne savent pas qu’ils ne sont pas sûrs, et ne sont pas informés quand une mise à jour logicielle est faite pour les sécuriser « , précise David Alexander.
Il a également souligné que les consommateurs doivent être conscients qu’il y a l’argent à se faire à partir de données, et que les fabricants d’électronique ont trouvé un moyen de faire que les consommateurs paient pour mettre les dispositifs dans leurs maisons qui donneront accès à des données récupérées par les fabricants d’appareils qui en feront de l’argent.
«Ils nous font payer pour espionner nous-mêmes. C’est du génie marketing et un enfer pour la vie privée » assure David Alexander, citant les exemples supplémentaires de smartwatches et webcams qui ont été trouvées envoyer des données vers des destinations inconnues.
« Ceci est le genre de comportement irresponsable que nous voyons chez les fabricants. Ce sont ces types de problèmes auxquels nous sommes confrontés, et il appartient aux professionnels de la sécurité de l’information d’aider à trouver les moyens de répondre à ces questions « , a-t-il dit.
Mais avec la prolifération continue des protocoles et des fréquences de communication IdO, David Alexander estime que le problème ne fera plus gros et plus difficile à résoudre.
« L’interdépendance croissante de ces systèmes et des services crée des vulnérabilités qui nous mène vers un point où« les failles en cascade »sont presque inévitables – où la défaillance d’un élément peut déclencher la défaillance des parties successives, » at-il dit, ce qui pourrait être exploité par les cybercriminels et d’autres….
Une solution possible, a déclaré David Alexander, serait d’apporter un changement dans la configuration des routeurs dans les foyers pour créer un port IoT en « zone démilitarisée » sur le périphérique, et de mettre en place un groupe de travail open source pour développer et tester ces types de configurations afin de séparer le trafic IdO de tout le reste.
Il y a aussi un besoin d’un concentrateur (hub) de maison intelligente pour contrôler des appareils, qui prend en charge plusieurs protocoles et fréquences et permet aux utilisateurs d’établir des configurations intelligentes grâce à une interface web conviviale, dit-il, afin de faire face aux problèmes d’adressage et de routage associés à des dispositifs IdO et d’agir comme un pare-feu IdO afin de fournir des alertes si quelque chose ne va pas.
Enfin, David Alexander a déclaré que des organisations telles que l’Institut des professionnels de la sécurité de l’information (PSII) devraient être plus actifs dans les débats autour de la sécurité IdO.
«Les professionnels de la sécurité doivent contribuer à l’orientation sur le fait d’influencer l’opinion et les meilleures pratiques, et d’avertir ce qui est possible et de faire prendre conscience des risques, » a-t-il dit.
https://www.trane.com/residential/en/products/thermostats-and-controls.html
