L'internet des objets (IoT) est désormais omniprésent, des routeurs aux les objets connectés du quotidien, en passant par les systèmes et actifs industriels. Si ces terminaux intelligents offrent d'innombrables avantages, ils représentent également un vecteur d'attaque majeur et une vulnérabilité de taille pour la confidentialité des données. SolarWinds, Verkada et d'autres cyberattaques à grande échelle ont également mis en lumière les risques liés à la compromission de la supply chain logiciels de l’IoT.  

Des identifiants codés en dur et faibles sont vulnérables

De nombreux appareils IoT et de technologie opérationnelle (OT) utilisent des identifiants par défaut qui sont codés en dur (ou intégrés) par le fabricant. Si cela peut sembler choquant, il existe une explication : la transformation numérique a amené des milliers d'appareils connectés dans l'entreprise moderne, ce qui rend la gestion des identifiants associés coûteuse et compliquée. Même lorsque ces informations d'identification par défaut sont modifiées, les cybercriminels mettent facilement la main dessus du fait de mauvaises pratiques ; telles que la sélection de mots de passe faibles, le partage ou la réutilisation des identifiants et la rotation peu fréquente des mots de passe. Les cybercriminels utilisent ensuite ces identifiants pour accéder aux vulnérabilités des logiciels et micrologiciels des systèmes IoT (qui sont nombreux) et se déplacer ainsi plus profondément au sein des systèmes et des supply chains des entreprises.

Les identifiants pour les comptes d'accès aux applications - comptes à privilèges puissants qui permettent l'interaction entre les machines - sont des cibles particulièrement populaires. En exploitant une vulnérabilité dans le logiciel d'un appareil IoT, un cybercriminel pourrait en effet utiliser un compte d'application pour implanter un logiciel malveillant dans un produit légitime, qui est ensuite déployé par des milliers d'organisations dans le monde. Un hacker peut également utiliser le système de signature numérique d'une entreprise pour garantir la sécurité et la fiabilité du produit d'un fournisseur, même après avoir implanté un malware dans l'application visée.

Pour minimiser ces risques, tous les identifiants et secrets des dispositifs IoT doivent toujours être sécurisés et gérés dans un coffre-fort protégé (jamais codé en dur), et l'accès de chaque dispositif IoT sur le réseau est à gérer et auditer constamment.  

Les mises à jour des micrologiciels de l’IoT sont rares et peu fréquentes

De nombreux objets connectés ne disposent pas de capacités intégrées relatives à des mises à jour sécurisées des logiciels et des micrologiciels. Il est donc très difficile pour les équipes chargées de la sécurité de corriger les vulnérabilités en temps voulu, surtout à grande échelle. Il arrive que des années, voire des décennies, s'écoulent sans mise à jour. Cela peut rendre vulnérable à des campagnes malveillantes tout type de terminaux intelligents ; des serrures de porte d'hôtel aux équipements médicaux vitaux, en passant par des infrastructures de services publics essentiels.

Pendant ce temps, les cybercriminels trouvent de nouveaux moyens de détourner les mises à jour des microprogrammes lorsqu'elles sont déployées. En intégrant des codes malveillants dans les correctifs de routine, ou des faux correctifs, ou en modifiant subrepticement les fonctionnalités des applications pour contourner les mécanismes de sécurité, ils parviennent à étendre leurs attaques par ordre de grandeur.  

Une visibilité limitée de l'IoT entraîne beaucoup d'incertitudes

Le manque de visibilité impacte aussi fortement la sécurisation des objets connectés. Les organisations ont ainsi du mal à identifier tous les appareils IoT et OT présents sur leur réseau, et encore moins à les mettre à jour et à les gérer efficacement tout au long de leur cycle de vie. Seuls 29 % des professionnels de la cybersécurité affirment que leur entreprise dispose d'un inventaire complet de ses appareils IoT et OT, selon une récente étude du Ponemon Institute. Et 41 % d'entre eux déclarent que leurs organisations utilisent principalement des processus manuels pour identifier les terminaux IoT et OT compromis et les lier à des attaques.

L'automatisation allège la charge des équipes IT et apporte la visibilité nécessaire, par exemple en recherchant en permanence les nouveaux appareils sur le réseau. Automatiser le remplacement des identifiants par défaut, les changements de mots de passe, et les mises à jour des micrologiciels des appareils, permet aux équipes de sécurité de gagner un temps précieux tout en améliorant la protection des appareils et la conformité aux politiques de l'entreprise.

Sécuriser les objets connectés est donc une tâche primordiale, de taille et à maintenir sur le long terme. Au cours des deux dernières années, 35 % des organisations ont connu un cyber-incident dans lequel un terminal IoT a été utilisé pour mener une attaque plus large. Mais sans une approche cohérente de la gestion des appareils et de leurs systèmes sous-jacents, l'IoT restera une épée de Damoclès en termes de cybersécurité pour les organisations.

Par Jérôme Colleu, ingénieur avant-vente chez CyberArk