Avez-vous correctement sécurisé vos objets connectés ?

9 octobre 2020

Les objets connectés ont envahi les entreprises, c’est un fait.

Durant ces dernières années des ampoules connectées, thermostats connectés, capteurs d’ouverture de porte, capteurs de présence, caméras, drones et autres produits sont venus s’intégrer au coeur des sociétés, augmentant au passage la surface d’attaque.

Selon la société F-Secure, le volume d’attaques visant des objets connectés a triplé en 2019.

Cette augmentation coïncide avec l’activité de botnets comme Mirai, malware infiltrant les objets connectés afin de les utiliser comme machines zombies.

À son pic d’activité, 600 000 machines avaient été piratées par ce logiciel malveillant. C’est avec ces machines infectées que des cyber attaques par déni de service (Ddos) ont ciblé des sociétés comme Dyn, OVH ou encore Deutsch Télécom, saturant au passage l’intégralité de la bande passante de ces dernières.

Dans chaque objet connecté vous avez un système d’exploitation

Pour fonctionner sur l’internet des objets, chaque élément doit contenir un système d’exploitation pour communiquer.

Utilisant des protocoles comme Bluetooth, Zigbee ou WiFi, ces objets fonctionnent comme votre poste de travail et sont donc soumis aux mêmes problèmes de sécurité.

Chiffrement des communications, authentification faible, login et mot de passe par défaut, faible mémoire, faible processeur, utilisation du protocole telnet… De nombreuses caractéristiques font de ces outils une menace pour la sécurité du système d’information de l’entreprise.

Ne pas sécuriser son réseau et sa caméra engendre des problèmes de confidentialité et de sécurité pour votre entreprise.

Selon une étude publiée par Forbes, 3,5 millions de caméras ne seraient pas sécurisées sur les réseaux.

Ainsi des portails comme insecam proposent d’accéder aux caméras non sécurisées d’entreprises et de particuliers.

Du fait de l’utilisation d’une configuration standard de ces caméras, les utilisateurs se retrouvent vulnérables à un vol de données.

Comment sécuriser efficacement des objets connectés ?

Voici quelques conseils vous permettant de sécuriser efficacement vos objets connectés.

1. Modifiez la configuration d’usine

De nombreux équipements IoT sont vendus en marques blanches.

La plupart des produits sont assemblés dans les mêmes usines avec les mêmes règles de configuration, même port de connexion et même mot de passe par défaut.

Il est impératif de modifier le port de connexion et les accès par défaut.

Évitez également d’utiliser le protocole Telnet qui, par défaut, n’est pas chiffré.

Choisissez plutôt le protocole SSH ou HTTPS.

2. Ne connectez pas sur un même réseau votre poste de travail et vos objets connectés

Optez pour l’utilisation d’un vlan (virtual lan ou réseau virtuel) permettant de créer une étanchéité entre les machines.

Ainsi, les deux équipements ne pourront pas se joindre directement. Cette étanchéité va notamment permettre de bloquer tout déplacement latéral (passage d’une machine à une autre).

Cette méthode est très utilisée par les malwares pour infecter une nouvelle machine depuis une machine déjà infectée.

C’est ce déplacement latéral qui a permis au ransomware WannaCry de bloquer quasi instantanément des sociétés entières en 2019.

3. Mettez à jour vos équipements

Une grande partie des équipements IoT ne sont jamais mis à jour.

En effet, après avoir effectué l’installation du produit, l’installateur n’a pas de contrat de maintenance.

Personne n’est donc informé des mises à jour à faire et ainsi, des millions d’équipements connectés se retrouvent vulnérables aux pirates informatiques.

4. Votre objet connecté doit être joignable publiquement ? Utilisez une zone démilitarisée

La zone démilitarisée ou DMZ est une zone dans laquelle vous allez rendre joignable des équipements en dehors du réseau local de votre entreprise.

Ces équipements seront donc joignables depuis internet en se trouvant dans un réseau totalement étanche du reste de la société.

Une DMZ se configure assez facilement avec les principaux pare-feux du marché.

5. La cybersécurité ne s’improvise pas, n’hésitez pas à faire appel à un professionnel

Comme nous l’avons vu, la sécurisation de vos objets connectés ne s’improvise pas.

Une mauvaise configuration peut rendre vulnérable la sécurité de votre entreprise.

Si vous avez des doutes, n’hésitez pas à demander conseil à un expert.

Crédits photo de couverture 

Sébastien GEST

Sébastien GEST

Sébastien Gest, expert en cybersécurité, décrypte les dernières menaces et les tendances du cyberespace.