Les objets connectés font désormais partie du quotidien. Ils recèlent de nouvelles possibilités, permettent d’accroître les performances et de réduire les coûts. Ils apportent pourtant aussi leur lot de problèmes, qui peuvent se résumer par la loi d’Hypponen : si un objet est dit intelligent, c’est qu’il est vulnérable.

F-Secure et d’autres entreprises découvrent sans cesse des vulnérabilités sur ces objets connectés. Et la loi d’Hypponen s’est à nouveau vérifiée récemment avec la découverte de multiples failles au sein de deux caméras de sécurité fabriquées par l’entreprise chinoise Foscam. Comme mentionné dans notre nouveau rapport, F-Secure a identifié 18 vulnérabilités sur ces caméras qui, une fois exploitées, permettent aux pirates de prendre le contrôle de la caméra. Ils sont alors en mesure de voir et de télécharger les flux vidéo.

Cela n’a rien de nouveau : nous savons que les webcams peuvent être hackées. Nous avons tous entendu ces histoires de hackers voyeurs, espionnant d’innocentes victimes. Mais dans ce cas précis, un détail a son importance : cette caméra est plus qu’une simple caméra. C’est aussi un serveur. Un serveur vulnérable qui offre au pirate une porte d’entrée au reste du réseau.

Si cette caméra est connectée à un réseau professionnel, le pirate pourra se servir d’un malware pour infecter l’appareil et accéder ensuite à l’ensemble du réseau.

Flux réseaux

Au fil des ans, les périmètres réseau sont devenus plus poreux. Avec la cloudification, la consumérisation et les nouveaux appareils mobiles, ce qui restait autrefois cantonné à l’intérieur de l’entreprise est désormais partout. Les données, les appareils, les ressources de l’entreprise ont quitté le bureau. Et les objets connectés ont fini d’effacer ce périmètre réseau : ces appareils étendent le réseau bien au-delà des stations de travail, ordinateurs, smartphones ou tablettes.

Janne Kauhanen, l’un de nos experts en cyber sécurité, explique : « Les objets connectés viennent s’ajouter aux appareils déjà présents sur le réseau. Pourtant, ils ne sont pas considérés comme des dispositifs réseau à proprement parler. Cela débouche sur une situation de type shadow IT où les entreprises ne savent même plus quels appareils sécuriser. Si vous ignorez l’existence de quelque chose, vous ne pouvez pas le protéger. »

La sécurité négligée

Harry Sintonen, notre consultant en sécurité à l’origine de la découverte de ces failles, confie qu’il n’a jamais vu un appareil aussi mal conçu sur le plan de la cyber sécurité. « Cet appareil ne pourrait pas être moins sécurisé », explique-t-il. « Avec ces caméras, les pirates peuvent faire à peu près tout ce qu’ils désirent. Un hacker peut exploiter ces failles une par une ou toutes à la fois, afin d’obtenir un niveau de privilèges suffisant pour prendre le contrôle de l’appareil et s’infiltrer sur le réseau.

La plupart de ces vulnérabilités sont avant tout une preuve de négligence de la part des concepteurs. Absence de mot de passe par défaut aléatoire, absence de verrouillage après plusieurs tentatives d’identification incorrectes, absence de restriction d’accès aux fichiers critiques… D’autres vulnérabilités concernent certaines fonctionnalités qui ne devraient pas être disponibles, comme l’accès Telnet caché ou les identifiants codés en dur qui permettent de contourner le mot de passe de l’utilisateur, même si celui-ci diffère du mot de passe par défaut.

Cela étant, tous les fabricants d’objets connectés tendent à négliger le paramètre « sécurité ». Le problème est généralisé. La sécurisation de ces appareils n’est pas déterminante en termes de chiffre d’affaires : elle ne permettra pas d’en vendre davantage. Les fabricants choisissent donc tout simplement de ne pas investir dans ce domaine. Résultat : d’innombrables caméras, routeurs, thermostats, boîtiers DVR, bouilloires et voitures connectées non-sécurisées inondent le marché. Le problème ne se pose plus désormais seulement pour les propriétaires de ces appareils, mais pour l’internet tout entier. À l’automne dernier, des attaques DDoS tirant avantage des vulnérabilités de ces objets connectés ont paralysé une partie du réseau. Elles ont montré à quel point ces problèmes de conception pouvait avoir des conséquences d’ampleur.

Trouver ces appareils et les infecter est facile pour les pirates. Selon Kauhanen, “si l’un de ces appareils vulnérables est connecté à votre réseau, je suis prêt à parier que des pirates finiront par le trouver. »

Foscam Monde

Remédier au problème

Même si la situation semble catastrophique, il y a de l’espoir, expliquent les experts F-Secure.

Tout d’abord, même si les règlements ne constituent pas une solution à eux seuls, ils devraient inciter les fabricants à porter davantage attention sur la sécurité de leurs appareils.

Par ailleurs, « par le passé, de nombreux secteurs ont connu un processus de sécurisation progressif similaire », explique Sean Sullivan, Security Advisor chez F-Secure. « Avec les voitures, par exemple. Les ceintures ont fini par s’imposer comme étant une bonne idée. Les objets connectés vont suivre la même voie. Dans 10 ans, ces problèmes de sécurité auront été résolus. La question est : devez-vous laisser ces objets connectés ruiner votre activité d’ici là ? »

Pour faire face, les entreprises doivent s’assurer que tous les appareils connectés sont sur un réseau distinct, non-exposé à internet. Cela passe par une approche holistique, multi-niveaux de la cyber sécurité. Il vous faut savoir ce qui se passe sur votre réseau. Comprenez votre surface d’attaque, et minimisez-la.

Les fabricants d’objets connectés doivent quant à eux prendre conscience que veiller à la sécurisation de leurs produits leur permettra de rester sereins face aux nouvelles règlementations.  Si votre entreprise fabrique des objets connectés, pensez à les sécuriser dès leur conception. Disposer de process de sécurité performants et investir (même modérément) dans le facteur sécurité vous différenciera de vos concurrents. Cela jouera en votre faveur, en particulier lorsque les nouvelles réglementations entreront en vigueur.

Téléchargez le rapport intégral, pour connaître en détails les vulnérabilités détectées et découvrir les recommandations faites aux entreprises concernées ainsi qu’aux fournisseurs

 

 

2 commentaires sur “Les caméras infectées… ou quand les objets connectés peuvent ruiner votre activité

  1. Ping : Webcams : elles montrent à quel point il est difficile de sécuriser les objets connectés – Le Blog de F-Secure

  2. Ping : Caméras Foscam IP : De nombreuses failles rendent les appareils et les réseaux vulnérables aux cyberattaques | UnderNews

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s