IoT : les risques liés aux bâtiments intelligents
Publié par la rédaction le | Mis à jour le
Avec le développement des objets connectés et de la domotique, les entreprises sont confrontées à de nouvelles menaces susceptibles de nuire à la sécurité physique des bâtiments, tout comme à la sécurité des données, indique un rapport TrendMicro.
Les plateformes d'automatisation IoT des bâtiments intelligents offrent aux cybercriminels de nouvelles brèches, aussi bien pour infiltrer les espaces physiques que les systèmes d'Informations de ces derniers, révèle une étude intitulée "Cybersecurity Risks in Complex IoT Environments: Threats to Smart Homes, Buildings and Other Structures", menée par Trend Micro (solutions et logiciels de sécurité).
Selon cette étude, il existe de nombreux risques pour les entreprises installées dans des bâtiments intelligents (espionnage des utilisateurs, ouverture des portes et vol de données, ...), de même que pour les collaborateurs pratiquant le télétravail dans un environnement personnel connecté. L'étude attire l'attention sur le fait que les plateformes d'automatisation sont de plus en plus utilisées pour relier plusieurs appareils connectés, créant ainsi des applications intelligentes faciles d'utilisation, mais laissant involontairement place à de nouvelles surfaces d'attaques qui peuvent s'avérer difficiles à protéger.
"Les objets connectés, leur utilisation et les environnements dans lesquels ils sont utilisés sont de plus en plus sophistiqués. Malheureusement, ces appareils ne bénéficient pas toujours de systèmes de sécurité intégrés", explique Loïc Guézo, Stratégiste Cybersécurité Europe du Sud, Trend Micro. "À l'heure actuelle, des données personnelles et professionnelles peuvent transiter par plusieurs routeurs, un point de contrôle IoT et divers protocoles IoT, voire davantage, et ce en une seule et même journée. C'est le scénario rêvé pour les cybercriminels : pourquoi s'attaquer à une entreprise bien protégée quand la maison intelligente d'un télétravailleur est si vulnérable ?", remarque-t-il.
L'étude pointe l'existence de trois types de systèmes d'automatisation majeurs au sein des bâtiments intelligents, que ces derniers soient initialement conçus pour intégrer des objets connectés ou non : les serveurs locaux autonomes, les serveurs Cloud et les serveurs basés sur des assistants virtuels. La première catégorie est la plus commune. C'est pourquoi, dans le cadre de son étude, Trend Micro a mis en place deux types de serveurs (des serveurs d'automatisation domotique(1) et des serveurs Home Assistant) pour contrôler 100 objets connectés témoins répartis sur deux sites.
Selon un récent rapport du Gartner, il y aura 25,1 milliards d'objets connectés à Internet à l'horizon 2021, soit une croissance de 32% par an et "l'augmentation des objets connectés pourra se résumer de la manière suivante: tout ce qui pourra être connecté à Internet finira par l'être."(2)
L'étude Trend Micro soulève un inconvénient majeur : la complexité des règles d'automatisation augmente à mesure que de nouveaux objets et actions sont ajoutés au réseau. Il devient donc de plus en plus difficile de gérer, de suivre et de déboguer ces règles sujettes aux erreurs, d'autant plus lorsque plusieurs règles entrent en conflit. Les chercheurs Trend Micro mettent également en garde contre toute une série de nouvelles menaces propres aux environnements IoT complexes, telles que :
- le clonage de la voix d'un utilisateur pour commander des actions via un assistant vocal
- l'ajout d'un objet fantôme à un réseau pour maintenir des portes ouvertes en trompant les dispositifs de détection de présence
- l'insertion d'erreurs logiques pour désactiver les alarmes intelligentes
Ils soulignent par ailleurs que de nombreux serveurs d'automatisation IoT sont visibles publiquement sur le Web, parmi lesquels 6 200 serveurs Home Assistant accessibles via une simple recherche sur le moteur spécialisé Shodan. Les cybercriminels peuvent alors profiter de ces informations pour s'introduire dans des bâtiments intelligents, reprogrammer les règles d'automatisation, dérober des données sensibles codées en dur (y compris les identifiants des routeurs), ajouter de nouveaux objets connectés, infecter des appareils avec des malwares ou encore détourner des objets pour les incorporer à des botnets.
Trend Micro recommande ainsi certaines mesures de précaution permettant de réduire les risques associés aux environnements IoT complexes :
- Activer la protection des mots de passe
- Modifier les paramètres par défaut
- Ne pas débrider des objets ni installer d'applications provenant d'éditeurs non vérifiés
- Mettre à jour le firmware de l'objet connecté
- Activer le chiffrage à la fois sur le disque de stockage et sur les plateformes de communication
- Sauvegarder régulièrement les fichiers contenant les règles de configuration du serveur d'automatisation IoT
Pour découvrir le rapport dans son intégralité : cliquer ici
(1) Serveurs open source pour l'automatisation de la maison (FHEM)
(2) Rapport Gartner 2018 "How to Secure the Enterprise Against the Internet of Things Onslaught", Jon Amato, Mark Judd