Quelle sécurité pour les réseaux IoT ?
Lorsque les machines étaient connectées sur des réseaux fermés, s’appuyant sur des technologies appartenant au domaine du M2M (Machine to Machine), la sécurité n’était pas un problème puisqu’il n’existait pas d’accès externes à ces réseaux. Puis sont venus les objets connectés, ouverts sur l’Internet et/ou les réseaux GSM, à une époque encore récente où la priorité des concepteurs et éditeurs était d’être les premiers sur le marché et les plus réactifs. Avec une dérive, la sécurité qui était (et l’est encore pour certains) absente du débat, ce qui a entraîné de multiples menaces qui ont défrayé la chronique.
Devenues IoT (Internet des Objets), ces technologies de capteurs et de ‘devices’ connectés sont parties à la conquête du monde, des entreprises et de l’industrie, attirés par les usages à créer et la simplicité de la connexion via les réseaux mobiles et internet. On compte aujourd’hui des milliards d’objets connectés, et ce chiffre augmente à un rythme exponentiel. Mais la question qui se pose désormais est la sécurité des réseaux IoT, enjeu majeur des entreprises dont ils sont le point central, et garante de la criticité des données collectées et qui circulent.
Selon le dernier rapport Cisco Annual Internet Report sur les tendances du networking, sur les 14,7 milliards de connexions en 2023, l’IoT industriel Machine-to-Machine représentera 50% des communications. Ces chiffres sont déjà importants, mais ils ne sont rien par rapport à ce qui nous attend. Tout d’abord, rappelons qu’en 2017 les communications M2M ne représentaient 3,1% des connexions, et l’année suivante (2018) 33% des 6,1 milliards des connexions. L’IoT est en plein essor, et son taux de croissance est exponentiel, dans les usages – détection, vidéo, navigation, télémédecine, etc. – comme dans les technologies, avec en particulier le potentiel issu du couplage avec la 5G.
En 2023, toujours, 55% des équipements en réseau seront connectés à des réseaux Wi-Fi, et 45% à des réseaux mobiles (3G, 4G, 5G, LPWA). Et pour terminer sur ces perspectives, la vitesse et donc le débit des réseaux va également augmenter, fort heureusement car il faut faire face à l’explosion de la production des données, pour atteindre en moyenne selon Cisco 110 Mbps sur les réseaux fixes et 43,9 Mbps sur les réseaux cellulaires.
Sécuriser de bout en bout
La sécurité de l’IoT doit se concevoir dans une globalité : les capteurs et périphériques, les infrastructures réseaux, les plateformes applicatives, et les données. Il n’existe pas de stratégie de sécurité unique, car il faut prendre en compte l’ensemble de ces éléments, ainsi que les usages qui induisent un niveau de risque. Quelques exemples : la remontée de température dans une salle présente moins de risque qu’un capteur sur un malade ou un système de pilotage des feux de circulation. De même, un réseau ‘bas débit, basse consommation’ du type LoRaWAN transporte généralement des données informatives cryptées nativement, AES128 dans ce cas précis, qui réduisent les risques.
Une récente étude de l’unité de recherches Unit42 de Palo Alto Networks révèle que 98 % du trafic en provenance des appareils IoT n’est pas chiffré, exposant des données à caractère personnel, confidentiel et critiques sur le réseau. De simples attaques par phishing, qui embarquent inconsciemment les utilisateurs, permettent aux hackers de contourner la première ligne de défense et de prendre le commandement et le contrôle pour écouter le trafic réseau non chiffré et collecter des données. Par ailleurs, le faible niveau général de mise à jour corrective des équipements invite les hackers à se tourner vers des exploits de vulnérabilités connues et des attaques de mot de passe avec des valeurs par défaut. C’est ainsi que 57 % des appareils IoT seraient vulnérables à des attaques de gravité moyenne à élevée, ce qui les rend attractifs pour les pirates.
Le principal danger sur les équipements terminaux, comme des capteurs ou des caméras IP par exemple, tient dans la prise de contrôle par l’attaquant qui lui ouvre un accès non protégé sur le réseau et permet ainsi de pénétrer le système d’information. Les attaques les plus virulentes ces dernières années ont procédé ainsi. On se souvient de l’attaque DDoS d’OVH via des webcams connectées, ou encore de la prise de contrôle à distance et via des failles de sécurité de jouets pour enfants. Peu d’objets connectés affichent une réelle sécurité, et les réseaux accessibles en IP sont également fragilisés.
Quels sont ces réseaux ? On distingue les réseaux longue portée et basse consommation (LPWAN), comme Sigfox, LoRa, ainsi que les technologies cellulaires dont LTE-M, qui peuvent faire transiter des données sur de grandes distances. Et les réseaux à courte portée, comme Wifi, Z-Wave, ZigBee, ou encore le Bluetooth LE (Low Energy), pour transférer des données sur de faibles distances. Les approches de sécurité des réseaux doivent prendre en compte leur diversité et leurs spécificités afin de dresser des barrières de protection devant les systèmes critiques, en plus des firewalls, afin de segmenter le SI avec des niveaux de sécurité recherchés. Une attention particulière sera portée aux protocoles industriels propriétaires associés à l’IoT, on en dénombre plus de 700 dans le monde. Les tests s’imposent.
Au delà de la sécurité…
En cas d’incident, la question qui se posera sera celle de la responsabilité. La réponse ne sera pas simple, car les infrastructures de l’IoT sont souvent complexes, largement déployées, et dispersées. Entre GSM et bientôt 5G, ces infrastructures sont généralement fournies par les opérateurs télécoms qui sont des intermédiaires entre la capture de la donnée et sa destination. Une de leurs missions consiste à assurer la sécurité des solutions en place.
L’entreprise aura intérêt à exploiter des équipements certifiés par leur prestataire. De même, dans le cadre du chiffrement, la génération et la conservation des clés de sécurité peuvent être confiées à des prestataires extérieurs et indépendants. Il est opportun de mener régulièrement des tests et des audits de sécurité, en particulier lors des modifications des plateformes d’accès.
La mise en place d’outils de supervision est également conseillée. Tout comme, pour les projets les plus importants, une gestion du cycle de vie des équipements et applications, qui intègre le volet sécurité dès la conception des objets, l’inventaire et le pilotage des réseaux auxquels ils seront rattachés, et la chaîne d’approvisionnement, avec les tests et contrôles décrits dans les cadres de sécurité.
