Pourquoi la sécurité de l’IdO est-elle importante ?

mathias

ur le toit de votre immeuble, vous êtes probablement entouré par l’Internet des objets (IoT). Dans la rue, des centaines d' »ordinateurs sur roues » passent toutes les heures, chacun d’entre eux étant composé de capteurs, de processeurs et d’équipements de mise en réseau. Dans la ligne d’horizon, les immeubles d’habitation sont truffés d’antennes et de paraboles qui relient à l’internet les nombreux assistants personnels, micro-ondes intelligents et thermostats intelligents.

Au-dessus, les centres de données mobiles filent dans le ciel à des centaines de kilomètres à l’heure, laissant une traînée de données plus épaisse que leurs traînées de condensation. Entrez dans une usine, un hôpital ou un magasin d’électronique et vous serez tout aussi impressionné par l’omniprésence des appareils connectés.

Bien que les définitions diffèrent largement, même parmi les experts, pour les besoins de ce livre, le terme IoT fait référence à des appareils physiques dotés d’une puissance de calcul et capables de transférer des données sur des réseaux, mais qui ne nécessitent généralement pas d’interaction entre l’homme et l’ordinateur. Certaines personnes décrivent les dispositifs IoT par ce qu’ils sont presque : « comme des ordinateurs, mais pas tout à fait ».

Nous qualifions souvent des appareils IoT spécifiques d' »intelligents » – par exemple, un micro-ondes intelligent – bien que de nombreuses personnes aient commencé à remettre en question le bien-fondé de cette démarche. (Voir l’article de Lauren Goode paru en 2018 dans The Verge, « Everything Is Connected, and There’s No Going Back »). Il est peu probable qu’une définition plus officielle de l’IdO arrive de sitôt.

Pour les hackers, l’écosystème IoT est un monde d’opportunités : des milliards d’appareils interconnectés qui transfèrent et partagent des données, créant ainsi un immense terrain de jeu pour bricoler, fabriquer, exploiter et amener ces systèmes à leurs limites.

Avant de nous plonger dans les détails techniques du piratage et de la sécurisation des appareils IoT, ce chapitre vous présente le monde de la sécurité IoT. Nous conclurons par trois études de cas sur les aspects juridiques, pratiques et personnels de la sécurisation des appareils IoT.

Pourquoi la sécurité de l’IdO est-elle importante ?

Vous avez probablement entendu les statistiques : Des dizaines de milliards de nouveaux appareils IoT existeront d’ici 2025, augmentant le PIB mondial de dizaines de trillions de dollars. Mais c’est seulement si nous faisons les choses correctement et que les nouveaux appareils s’envolent des étagères. Au lieu de cela, nous avons vu des problèmes de sûreté, de sécurité, de confidentialité et de fiabilité étouffer l’adoption. Les problèmes de sécurité peuvent être aussi dissuasifs que le prix d’un appareil.

La croissance lente de l’industrie de l’IdO n’est pas seulement un problème économique. Dans de nombreux domaines, les dispositifs IoT ont le potentiel d’améliorer des vies. En 2016, 37 416 personnes sont mortes sur les autoroutes américaines. Selon la National Highway Traffic Safety Administration, 94 % de ces décès ont été causés par une erreur humaine. Les véhicules autonomes peuvent réduire considérablement ces chiffres et rendre nos routes plus sûres, mais seulement s’ils sont dignes de confiance.

Dans d’autres domaines de notre vie, nous pouvons également tirer profit de l’ajout de plus grandes capacités à nos appareils. Par exemple, dans le domaine de la santé, les stimulateurs cardiaques capables d’envoyer quotidiennement des données au médecin réduiront considérablement le nombre de décès dus aux crises cardiaques. Pourtant, lors d’un débat à la Cardiac Rhythm Society, un médecin du système des anciens combattants a déclaré que ses patients refusaient de se faire implanter des dispositifs par peur du piratage.

De nombreuses personnes dans l’industrie, le gouvernement et les communautés de recherche en matière de sécurité craignent qu’une crise de confiance ne retarde de plusieurs années, voire de plusieurs décennies, les technologies permettant de sauver des vies.

Bien entendu, comme ces mêmes technologies sont de plus en plus étroitement liées à nos vies, nous devons savoir – et pas seulement espérer – qu’elles sont dignes de la confiance que nous leur accordons. Dans une étude financée par le gouvernement britannique sur les croyances des consommateurs concernant les appareils IoT, 72 % des personnes interrogées s’attendaient à ce que la sécurité soit déjà intégrée. Pourtant, pour une grande partie de l’industrie de l’IdO, la sécurité est une réflexion après coup.

En octobre 2016, les attaques du botnet Mirai ont eu lieu, et le gouvernement fédéral américain, ainsi que d’autres dans le monde, ont collectivement pris note. Cette série d’attaques en escalade a coopté des centaines de milliers de dispositifs à faible coût à ses propres fins, obtenant un accès par le biais de mots de passe par défaut bien connus tels que admin, password et 1234.

Elle a culminé par un déni de service distribué (DDoS) contre le fournisseur de systèmes de noms de domaine (DNS) Dyn, qui fait partie de l’infrastructure Internet de nombreux géants américains, tels qu’Amazon, Netflix, Twitter, le Wall Street Journal, Starbucks et bien d’autres. Clients, revenus et réputations ont été ébranlés pendant plus de huit heures.

De nombreuses personnes ont supposé que les attaques avaient été l’œuvre d’une puissance nationale étrangère. Peu après Mirai, les attaques WannaCry et NotPetya ont causé des milliers de milliards de dollars de dommages dans le monde, en partie parce qu’elles ont touché les systèmes IoT utilisés dans les infrastructures critiques et la fabrication. Elles ont également laissé aux gouvernements la nette impression d’être à la traîne dans leur devoir de protection de leurs citoyens.

WannaCry et NotPetya étaient essentiellement des attaques de ransomware qui utilisaient l’exploit EternalBlue, qui tire parti d’une vulnérabilité dans l’implémentation par Microsoft du protocole SMB (server message block). En décembre 2017, lorsqu’il a été révélé que Mirai avait été conçu et exécuté par quelques collégiens, les gouvernements du monde entier ont compris qu’ils devaient examiner l’ampleur du problème de sécurité de l’IdO.

Il existe trois voies d’avenir pour la sécurité de l’IdO : le statu quo peut être maintenu, les consommateurs peuvent commencer à « boulonner » la sécurité sur des appareils qui sont peu sûrs par défaut ou les fabricants peuvent intégrer la sécurité dans les appareils dès le départ.

Dans le scénario du statu quo, la société en viendrait à accepter les inconvénients réguliers des problèmes de sécurité comme un élément nécessaire de l’utilisation des appareils IoT. Dans le scénario de la sécurité après-vente, de nouvelles entreprises combleraient le vide négligé par les fabricants d’appareils, et les acheteurs finiraient par payer plus cher une sécurité dont les capacités sont moins adaptées.

Dans le troisième scénario, dans lequel les fabricants intègrent des capacités de sécurité dans leurs appareils, les acheteurs et les opérateurs deviennent mieux équipés pour résoudre les problèmes, et les décisions relatives aux risques et aux coûts se déplacent vers des points plus efficaces de la chaîne d’approvisionnement.

Nous pouvons tirer des enseignements du passé pour voir comment ces trois scénarios, en particulier les deux derniers, pourraient se dérouler. Par exemple, les premiers escaliers de secours de New York étaient souvent boulonnés à l’extérieur des bâtiments. En conséquence, elles augmentaient souvent les coûts et les risques pour les occupants en général, selon un article de l’Atlantic intitulé « How the Fire Escape Became an Ornament ».

Aujourd’hui, elles sont intégrées aux bâtiments, souvent la première chose construite, et les résidents n’ont jamais été aussi bien protégés des incendies. Tout comme les escaliers de secours dans les bâtiments, la sécurité intégrée aux appareils IoT peut apporter de nouvelles capacités impossibles à obtenir avec des approches boulonnées, telles que la possibilité de mise à jour, le durcissement, la modélisation des menaces et l’isolation des composants, autant d’éléments que vous découvrirez dans cet ouvrage.

En quoi la sécurité IoT est-elle différente de la sécurité informatique traditionnelle ?

La technologie IoT diffère des technologies de l’information (IT) plus familières sur des points essentiels. I Am The Cavalry, une initiative mondiale de la communauté de recherche sur la sécurité, propose un cadre pédagogique pour comparer les deux, qui est décrit ici.

Les conséquences des défaillances de la sécurité de l’IdO peuvent entraîner une perte directe de vies humaines. Elles peuvent également ébranler la confiance dans l’entreprise ou le secteur en général, ainsi que la confiance dans la capacité d’un gouvernement à protéger les citoyens par le biais de la surveillance et de la réglementation. Par exemple, lorsque WannaCry a frappé, des patients souffrant d’affections pour lesquelles le facteur temps était déterminant, comme des accidents vasculaires cérébraux ou des crises cardiaques, n’ont sans doute pas été traités car l’attaque a retardé la prestation de soins pendant plusieurs jours.

Les adversaires qui attaquent ce type de systèmes ont des objectifs, des motivations, des méthodes et des capacités différents. Certains adversaires peuvent essayer d’éviter de causer des dommages, tandis que d’autres peuvent rechercher des systèmes IoT spécifiquement pour causer des dommages. Par exemple, les hôpitaux sont fréquemment visés par des demandes de rançon, car le préjudice potentiel pour les patients augmente la probabilité et la rapidité du paiement par les victimes.

La composition des dispositifs IoT, y compris les systèmes de sécurité, crée des contraintes que l’on ne retrouve pas dans les environnements informatiques classiques. Par exemple, les contraintes de taille et de puissance d’un stimulateur cardiaque créent des défis pour l’application des approches de sécurité informatique classiques qui nécessitent de grandes quantités de stockage ou de puissance de calcul.

Les appareils IoT fonctionnent souvent dans des contextes et des environnements spécifiques, comme les maisons, où ils sont contrôlés par des personnes qui n’ont pas les connaissances ou les ressources nécessaires pour un déploiement, une exploitation et une maintenance sécurisés.

Par exemple, nous ne devrions pas nous attendre à ce que le conducteur d’une voiture connectée installe des produits de sécurité après-vente tels qu’une protection antivirus. Nous ne devrions pas non plus nous attendre à ce qu’il ait l’expertise ou la capacité de réagir assez rapidement lors d’un incident de sécurité. Mais c’est ce que nous attendons d’une entreprise.

L’économie de la fabrication de l’IoT réduit au minimum les coûts des appareils (et donc des composants), ce qui fait souvent de la sécurité une réflexion ultérieure coûteuse. En outre, bon nombre de ces appareils sont destinés à des clients sensibles au prix qui n’ont pas l’expérience de la sélection et du déploiement d’une infrastructure sécurisée. Enfin, les coûts liés à l’insécurité des dispositifs sont souvent supportés par des personnes qui ne sont pas les principaux propriétaires ou exploitants de ces dispositifs.

Par exemple, le botnet Mirai a profité des mots de passe codés en dur, intégrés dans le microprogramme du chipset, pour se propager. La plupart des propriétaires ne savaient pas qu’ils devaient changer leurs mots de passe ou ne savaient pas comment le faire. Mirai a coûté des milliards de dollars à l’économie américaine en ciblant un fournisseur tiers de DNS qui ne possédait aucun appareil touché.

Les délais de conception, de développement, de mise en œuvre, d’exploitation et de retrait se mesurent souvent en décennies. Le temps de réponse peut également être allongé en raison de la composition, du contexte et de l’environnement. Par exemple, les équipements connectés d’une centrale électrique sont souvent censés vivre plus de 20 ans sans être remplacés. Mais les attaques contre un fournisseur d’énergie ukrainien ont provoqué des pannes à peine quelques secondes après que les adversaires ont agi au sein de l’infrastructure du contrôle industriel.

Quelle est la particularité du piratage de l’IdO ?

La sécurité de l’IdO étant très différente de la sécurité informatique traditionnelle, le piratage des systèmes IdO nécessite également des techniques différentes. Un écosystème IoT est généralement composé de dispositifs et de capteurs intégrés, d’applications mobiles, d’une infrastructure en nuage et de protocoles de communication réseau. Ces protocoles comprennent ceux de la pile réseau TCP/IP (par exemple, mDNS, DNS-SD, UPnP, WS-Discovery et DICOM), ainsi que les protocoles utilisés dans la radio à courte portée (comme NFC, RFID, Bluetooth et BLE), la radio à moyenne portée (comme Wi-Fi, Wi-Fi Direct et Zigbee) et la radio à longue portée (comme LoRa, LoRaWAN et Sigfox).

Contrairement aux tests de sécurité traditionnels, les tests de sécurité IoT vous obligent à inspecter et souvent à démonter le matériel des appareils, à travailler avec des protocoles de réseau que vous ne rencontrerez pas normalement dans d’autres environnements, à analyser les applications mobiles contrôlant les appareils et à examiner comment les appareils communiquent avec les services Web hébergés sur le cloud par le biais d’interfaces de programmation d’applications (API). Nous expliquons toutes ces tâches en détail dans les chapitres suivants.

Prenons l’exemple d’une serrure de porte intelligente. La figure 1-1 présente une architecture commune aux systèmes de serrure intelligente. La serrure intelligente communique avec l’application du smartphone de l’utilisateur à l’aide de la technologie Bluetooth Low Energy (BLE), et l’application communique avec les serveurs de la serrure intelligente sur le cloud (ou, comme certains le disent encore, sur l’ordinateur de quelqu’un d’autre) à l’aide d’une API sur HTTPS. Dans cette conception de réseau, la serrure intelligente dépend de l’appareil mobile de l’utilisateur pour la connectivité à Internet, dont elle a besoin pour recevoir les messages du serveur dans le nuage.

Les trois composants (le dispositif de verrouillage intelligent, l’application pour smartphone et le service cloud) interagissent et se font confiance, ce qui en fait un système IoT qui expose une large surface d’attaque.

Considérez ce qui se passe lorsque vous révoquez la clé numérique de votre invité Airbnb en utilisant ce système de serrure intelligente. En tant que propriétaire de l’appartement et du dispositif de verrouillage intelligent, votre application mobile est autorisée à envoyer un message au service cloud qui annule la clé de l’utilisateur invité.

Bien sûr, il se peut que vous ne soyez pas à proximité de l’appartement et de la serrure lorsque vous faites cela. Après avoir reçu votre mise à jour de révocation, le serveur envoie un message spécial à la serrure intelligente pour mettre à jour sa liste de contrôle d’accès (ACL). Si un invité malveillant met simplement son téléphone en mode avion, la serrure intelligente ne pourra pas l’utiliser comme relais pour recevoir cette mise à jour d’état du serveur, et il pourra toujours accéder à votre appartement.

Une simple attaque par évasion de révocation comme celle que nous venons de décrire est révélatrice des types de vulnérabilités que vous rencontrerez lorsque vous piraterez des systèmes IoT. En outre, les contraintes imposées par l’utilisation de petits dispositifs intégrés à faible puissance et à faible coût ne font qu’accroître l’insécurité de ces systèmes.

Par exemple, au lieu d’utiliser la cryptographie à clé publique, qui est gourmande en ressources, les dispositifs IoT ne s’appuient généralement que sur des clés symétriques pour chiffrer leurs canaux de communication. Ces clés cryptographiques sont très souvent non uniques et codées en dur dans le firmware ou le matériel, ce qui signifie que les attaquants peuvent les extraire et les réutiliser ensuite dans d’autres appareils.

Cadres, normes et guides

L’approche standard pour traiter ces problèmes de sécurité consiste à mettre en œuvre, eh bien, des normes. Ces dernières années, de nombreux cadres, directives et autres documents ont tenté de résoudre différents aspects du problème de la sécurité et de la confiance dans les systèmes IoT.

Bien que les normes soient destinées à consolider les industries autour de meilleures pratiques généralement acceptées, l’existence d’un trop grand nombre de normes crée un paysage fracturé, indiquant un large désaccord sur la façon de faire quelque chose. Mais nous pouvons tirer beaucoup de valeur de l’examen des diverses normes et cadres, même si nous reconnaissons qu’il n’y a pas de consensus sur la meilleure façon de sécuriser les dispositifs IoT.

Tout d’abord, nous pouvons séparer les documents qui informent sur la conception de ceux qui régissent le fonctionnement. Les deux sont liés, car les capacités conçues d’un dispositif sont à la disposition des opérateurs pour sécuriser leurs environnements.

L’inverse est également vrai : De nombreuses capacités absentes de la conception du dispositif sont impossibles à mettre en œuvre dans les opérations, comme les mises à jour logicielles sécurisées, la capture de preuves médico-légales, l’isolation et la segmentation au sein du dispositif et les états de défaillance sécurisés, entre autres.

Les documents d’orientation sur l’approvisionnement, souvent publiés par des entreprises, des associations industrielles ou des gouvernements, peuvent aider à faire le lien entre les deux documents.

Deuxièmement, on peut distinguer les cadres des normes. Le premier définit des catégories d’objectifs réalisables, et le second des processus et des spécifications pour atteindre ces objectifs. Les deux sont utiles, mais les cadres sont plus durables et largement applicables car les normes de sécurité vieillissent souvent rapidement et fonctionnent mieux lorsqu’elles sont spécifiques à un cas d’utilisation.

D’autre part, certaines normes sont extrêmement utiles et constituent des composants essentiels de la technologie IoT, comme celles relatives à l’interopérabilité telles que l’IPv4 et le Wi-Fi. Par conséquent, une combinaison de cadres et de normes peut conduire à une gouvernance efficace d’un paysage technique.

Dans cet ouvrage, nous faisons référence aux cadres et aux normes, le cas échéant, pour donner aux concepteurs et aux opérateurs des conseils sur la manière de résoudre les problèmes que les chercheurs en sécurité identifient lorsqu’ils utilisent les outils, les techniques et les processus que nous décrivons. Voici des exemples de normes, de documents d’orientation et de cadres :

Normes

L’Institut européen des normes de télécommunications (ETSI), fondé en 1988, crée plus de 2 000 normes chaque année. Sa spécification technique pour la cybersécurité de l’Internet des objets grand public présente des dispositions détaillées pour la construction de dispositifs IoT en toute sécurité.

Le National Institute of Standards and Technology (NIST) des États-Unis et l’Organisation internationale de normalisation (ISO) publient plusieurs normes qui permettent de sécuriser les appareils IoT.

Cadres de travail

I Am The Cavalry, fondée en 2013, est une initiative mondiale de base composée de membres de la communauté des chercheurs en sécurité. Son serment d’Hippocrate pour les dispositifs médicaux connectés décrit les objectifs et les capacités de conception et de développement des dispositifs médicaux.

Nombre d’entre eux ont été adoptés dans les critères réglementaires de la Food and Drug Administration pour l’approbation des dispositifs médicaux. Parmi les autres cadres, citons le NIST Cybersecurity Framework (qui s’applique à la possession et à l’exploitation de dispositifs IoT), le cadre de sécurité IoT de Cisco et le Cloud Security Alliance IoT Security Controls Framework, entre autres.

Documents d’orientation

L’Open Web Application Security Project (OWASP), lancé en 2001, s’est étendu bien au-delà de la portée de son homonyme. Ses listes du Top 10 sont devenues des outils puissants pour les développeurs de logiciels et les responsables des achats informatiques et sont utilisées pour accroître le niveau de sécurité de divers projets. En 2014, son projet IoT a publié sa première liste Top 10. La dernière version (au moment où nous écrivons ces lignes) date de 2018.

Parmi les autres documents d’orientation, citons la base de référence de l’IoT du NIST, les ressources de la NTIA en matière de mise à niveau et de correction de la sécurité de l’IoT, les recommandations de l’ENISA en matière de sécurité de base pour l’IoT, les lignes directrices et l’évaluation de la sécurité de l’IoT de la GSMA et les lignes directrices des meilleures pratiques de l’IoT Security Foundation.