L'inquiétude monte autour de la sécurité de l'Internet des Objets. Entre les objets connectés et les hackers risque de s'installer un dangereux jeu du chat et de la souris.

A chaque nouvel objet connecté qui apparaitra le hacker cherchera à trouver la faille qui lui permettra de l'exploiter à des fins mafieuses. Tel est le paysage que de plus en plus d'experts en sécurité dessinent autour de l'Internet des Objets. Ou autrement dit le jeu du chat et de la souris qui s'installe.

 

Les objets connectés représentent un point d'entrée dans les réseaux de base de l'entreprise. Or ces réseaux affichent une faille : les routeurs sont rarement mis à jour et corrigés, quand ils peuvent être patchés ! Comme la plupart des équipements anciens, le fabricant a mis fin aux patchs et aux correctifs. Ces routeurs sont désormais des opportunités pour les pirates.

IoT point d'entrée des attaques par réflexion

C'est ce que les hackers tentent d'exploiter dans des attaques dites par réflexion, ou encore SSDP (Simple Service Discovery Protocol). Souvent, l'attaque par déni de servie (DDoS) n'est qu'un leurre, qui peut éventuellement se révéler efficace si l'entreprise ne possède pas de solution à jour pour s'en protéger. La véritable menace est ailleurs, dans ces attaques qui visent à exploiter des failles anciennes encore présentes sur les routeurs.

Pernicieuse, une attaque SSDP permet d'utiliser les routeurs vulnérables pour amplifier une attaque au-delà des limites normales de bande passante, tout en cachant la source d'origine de l'attaque. Cette menace doit être prise au sérieux. Car pour le cyber-pirate, le routeur oublié est un lien entre le monde physique et le monde virtuel, et une porte ouverte sur la violation de données et la compromission de la vie privée. Quant elle ne se traduit pas par des dommages physiques, voire la mort !

Augmenter les budgets sécurité

Pour assurer la cyber-sécurité de ses objets connectés, l'entreprise va devoir mettre la main à la poche pour renforcer la sécurité de sa part de l'Internet des Objets. Selon Nexusguard, spécialiste des solutions de sécurité DDoS, cela va se traduire dès 2017 par 20 % des entreprises qui utiliseront des services de sécurité pour protéger leurs initiatives IoT. Et en 2020, 25 % des budgets de sécurité seront consacrés à l'Internet des Objet.

Il y aura deux gagnants dans cette affaires, le hacker qui a accès à des environnements réseaux qui favorisent sa démarche, et les marchands de sécurité qui vont trouver dans l'IoT un relai de croissance. Et trois perdants, l'entreprise qui doit affronter un dilemme - faut-il foncer dans l'IoT avec les risques sécuritaires qui lui sont associés mais une place à prendre, ou ralentir le rythme pour sécuriser l'offre au risque de voir sa concurrence emporter le morceau, et les risques qui lui sont associés ? - et le client encore plus fragilisé dans son quotidien.

Il manque un perdant, l'avez-vous remarqué ? C'est le DSI, qui quelque soit la problématique verra sa responsabilité mise en cause… Et ses prévisions de budget compromises. Il faut s'y préparer, mais la prise de décision et l'équilibrage qui sera retenu ne seront jamais qu'un maigre compromis !

 

Image d'entête iStock @ Askold Romanov