[BAROMÈTRE] Baromètre des risques de la sécurité de l’Internet des objets

Le baromètre de la sécurité de l’Internet des Objets met en évidence les menaces et les risques de piratage d’objets connectés au sein des secteurs clés de l’économie et selon différents indicateurs. 

Les secteurs clés de l’économie qui sont analysés par nos outils de veille sont les suivants :

  • L’industrie : énergie, armement, chaînes de production.
  • Les transports : automobile, maritime et aéronautique.
  • La santé : dispositifs médicaux dans les hôpitaux, implants connectés, objets de bien-être.
  • La domotique : appareils assurant la gestion autonome et la sécurité d’une maison.
  • Les services publics : équipements urbains d’une smart city, retail, sécurité publique

L’analyse de risque pour chacun des secteurs est réalisée au moyen de deux indicateurs différents :

L’indicateur de tendance recense le nombre de cyberattaques majeures contre un secteur. Par cyberattaque majeure on définit toute attaque entraînant des impacts avérés ou potentiels importants à l’encontre des infrastructures visées telles que le vol de données, la prise de contrôle à distance d’objets connectés pouvant entraîner des dysfonctionnements et des accidents.

L’indicateur d’exposition met en évidence les risques potentiels de cyberattaques des différents secteurs d’activités. Ce risque est évalué par nos analystes-veilleurs et nos auditeurs par rapport aux études qu’ils mènent sur la sécurité des objets connectés.

Juin 2018

Depuis plusieurs mois, la sécurité des voitures connectées et autonomes est remise en question par les divers incidents révélés dans la presse ou sur les blogs de spécialistes en sécurité : vol de voitures sans clé, dérapage de voitures autonomes dans le fossé, mauvaise interprétation des panneaux de signalisation, fuite de données personnelles via des applications automobiles, la liste est longue… De nouvelles failles sont découvertes tous les ans révélant le niveau de sécurité des voitures ainsi que le manque de sensibilisation des constructeurs qui continuent à privilégier l’innovation sur la sécurité des conducteurs. La sécurité du réseau doit être une compétence essentielle des fournisseurs de réseau de télécommunications. Les fonctions de sécurité doivent être conçues pour être intégrées dans l’infrastructure même des communications, de façon à offrir des connexions hautement sécurisées à l’appareil de l’utilisateur final. L’arrivée du RGPD pourrait favoriser l’implémentation de mécanismes de sécurité robustes, notamment en ce qui concerne les données personnelles échangées au sein de nos véhicules connectés. En ce qui concerne la sécurité du conducteur, dépendant du bon fonctionnement de sa voiture (freins, volant, autoradio, etc), beaucoup de chemin reste à faire. Il ne serait guère surprenant que l’on assiste à une série d’accidents de la route, causés par des pirates informatiques, afin de déstabiliser une ville par exemple ou cibler des personnalités importantes.

Faits marquants 

Automobile. Des chercheurs allemands du Kromtech Security Center ont découvert qu’un vaste ensemble de données personnelles – plus de 50 000 –  appartenant à des utilisateurs de l’application Honda Connect avaient été exposées en ligne.

Automobile. Une caméra de sécurité a enregistré des voleurs réussissant à dérober une voiture sans clé de la marque Mercedes, grâce à un dispositif relais (interrupteur électrique qui fonctionne de telle sorte qu’il peut détecter et recevoir des signaux) caché à l’intérieur d’un sac à main.

Domotique. Amazon Echo a enregistré la conversion privée d’un couple américain après l’avoir envoyé à un de leurs amis sans que les deux personnes ne prononcent le mot clé « Alexa ». L’appareil aurait mal interprété une phrase du couple comprenant ainsi que l’on appelait.

Robotique. Des chercheurs danois et suédois ont publié une étude révélant de multiples vulnérabilités sur le robot Pepper de Softbank Robotics. Ce robot est utilisé dans de nombreuses boutiques à des fins d’animation commerciale et de support à la vente (notamment au Japon).

Juillet-Août 2018

Les vacances d’été sont toujours attendues avec impatience par bon nombre de travailleurs, désireux de se déconnecter les pieds au bord de l’eau. Pendant que certains jouissent pleinement de ce repos estival, d’autres en profitent pour continuer des expérimentations, pour le moins saugrenues. C’est ainsi que des hackers auraient pris le contrôle du kiosque numérique d’un parking et l’auraient connecté à un site porno sans raison apparente. D’autres ont tenté de compromettre un bateau autonome. Plus rocambolesque, aux États-Unis, près de 364 détenus du département de correction de l’Idaho aux États-Unis, ont piraté le système de tablette et se sont transférés près de 225 000 dollars sur leurs comptes bancaires… Dans la lignée de l’affaire Strava, des chercheurs ont découvert que l’application sportive Polar Flow aurait révélé les emplacements de sites militaires et gouvernements considérés comme « sensibles ». L’application permet de recueillir des données qui transitent sur les bracelets connectés et permet donc de révéler la localisation des utilisateurs. Côté protocole de communication, plusieurs failles ont été identifiées au sein du protocole Bluetooth, interagissant avec des objets connectés. C’est ainsi l’ensemble de la chaîne de valeur de l’Internet des objets qui reste complètement perméable aux cyberattaques.

Faits marquants 

Domotique. Le chercheur Craig Young de l’entreprise américaine Tripwire a découvert qu’il était possible de localiser le logement des propriétaires de Google Home et Chromecast grâce à un script exécuté depuis un site web.  Grâce à l’accès aux données basées sur les adresses IP des appareils, il a même pu localiser une personne connectée.

Transports. Le 30 juin 2018, la start-up Kara Technology devait lancer son violier autonome EVA2 aux Sables d’Olonne, en raison d’un piratage informatique la veille du départ, le départ a été repoussé par mesure de précaution. Pour rappel, EVA2 devait faire le tour du monde de manière complètement autonome. 

Santé. L’application sportive Polar Flow aurait révélé les emplacements de sites militaires et gouvernements considérés comme « sensibles ». L’application permet en effet de recueillir des données qui transitent sur les bracelets connectés et permet donc de révéler la localisation des utilisateurs.

Tablette connectée. Près de 364 détenus du département de correction de l’Idaho aux États-Unis ont piraté le système de tablette Jpay qui leur avait été distribué à des fins de divertissements et se sont transférés près de 225 000 dollars sur leurs comptes bancaires.

Station-service. Deux pirates informatiques américains ont réussi à compromettre le logiciel de suivi des stocks d’essence d’une station-service située dans le sud de Détroit. Ils ont ainsi réussi à voler l’équivalent de 1500 dollars d’essence soit 2700 litres.

Kiosque connecté. Des pirates ont pris le contrôle d’un kiosque de stationnement numérique et l’ont connecté à des sites offrant des contenus réservés aux adultes, d’après les chercheurs de la société de cybersécurité Darktrace. Le kiosque n’a pas affiché le contenu tel quel, ce qui rend l’affaire encore plus étrange: si ce n’était pas pour une blague potache ?

Systèmes industriels. Principal fabricant du processeur qui va équiper les prochains iPhone d’Apple, TSMC a dû interrompre plusieurs chaînes de fabrication situées à Taiwan à cause d’un virus informatique mi-août. Le groupe dit avoir prévenu tous ses clients et affirme qu’aucune donnée n’a été compromise.

Botnet. Des chercheurs en cybersécurité de Newsky Security, Qihoo 360 Netlab  et Rapid7 ont découvert un botnet constitué de plus de 18 000 routeurs Huawei. En exploitant cette faille, un attaquant peut envoyer des paquets de données malveillants, exécuter du code à distance, ou lancer des attaques à distance en corrompant les objets connectés aux routeurs.

Botnet. HNS IoT (Hide and Seek), un botnet IoT connu pour infecter les routeurs domestiques, les caméras IP et les enregistreurs vidéo numériques, aurait récemment recommencé à compromettre les serveurs des bases de données NoSQL. Le botnet HNS communique d’une manière complexe et décentralisée et utilise de multiples techniques contre l’altération pour empêcher qu’un tiers puisse le détourner.

Faille Bluetooth. Des chercheurs de l’Institut de Technologie d’Israël ont découvert une faille nommée CVE-2018-5383 dans la technologie Bluetooth. La vulnérabilité en question toucherait les produits Apple, Qualdcomm, Intel et certains smartphones Android.

Faille Bluetooth. Le BLE permet aux objets connectés ne nécessitant pas une consommation électrique importante de se connecter au smartphone de l’utilisateur. Damien Cauquil, expert sécurité chez digital.security, a découvert qu’il était possible de prendre à distance le contrôle de certains dispositifs connectés via le protocole Bluetooth Low Energy (BLE).

Septembre 2018

De nouvelles failles de sécurité ont été découvertes au sein de solutions connectées. Quelques mois après la prise de contrôle d’une Jeep Cherokee, les problèmes de sécurité liés aux voitures connectées se multiplient avec cette fois le piratage d’une Tesla Modèle S. Une équipe de chercheurs de l’Université belge de Leuven a découvert que les voitures électriques type S du constructeur californien Tesla étaient vulnérables à une attaque très simple : le clonage furtif – en quelques secondes – de la clef de la voiture.  Particulièrement exposés, les équipements connectés présentent donc d’importantes failles et vulnérabilités facilement exploitables et s’exposent à des risques majeurs.  Outre la découverte de nouvelles failles de sécurité propres aux objets connectés, de nouveaux botnets ont fait leur apparition. Les botnets sont la création de vastes réseaux remplis de terminaux esclaves, qui peuvent inclure des PC standard, des routeurs, des smartphones, et depuis plus récemment, des terminaux de l’Internet des objets (IoT) allant des ampoules connectées aux réfrigérateurs. C’est le cas d’Hakai et Torii. Hakai a été utilisé pour pirater 18 000 Huawei HG352 pour ensuite attaquer les routeurs D-Link utilisant le protocole HNAP et les équipements Realtek. Ce malware est particulièrement actif en Amérique latine. De son côté, le botnet Torii est né de la combinaison de plusieurs techniques avancées, toujours selon Avast. Il comporte un ensemble assez riche de fonctionnalités pour exfiltrer des informations sensibles. Il dispose d’une architecture modulaire capable de récupérer et d’exécuter des commandes et des programmes et utilise plusieurs couches de communication chiffrées. Ce niveau de sophistication lui aurait permis de rester sous le radar des spécialistes du domaine. Pour le moment, Torii n’a pas encore servi à propager d’attaques DDoS ou de cryptojacking. Puisqu’il est clair que l’essor des objets connectés n’est pas prêt de s’arrêter, il est impératif que les acteurs majeurs de cette industrie mettent en place des normes et des bonnes pratiques au plus tôt, faute de quoi l’Internet des Objets continuera à scléroser l’Internet tout court.

Faits marquants 

Automobile. Des chercheurs de l’Université belge KU Leuven ont publié une vidéo dans laquelle ils montrent et soulignent la simplicité à pirater et voler une Tesla Model S. Les chercheurs ont créé une base de données des clés numériques pouvant ouvrir la  voiture et ont copié le signal du système de verrouillage émis par le véhicule. Ensuite, il faut se rapprocher du propriétaire de la voiture afin que le signal copié trompe le porte-clé qui émet deux codes normalement envoyés au véhicule.

Ransomware. La ville de Midland, en Ontario, au Canada, a été piratée et infectée par un malware. La ville a vu ses serveurs ciblés et infectés par un ransomware début septembre. La ville a payé la rançon de peur de ne plus pouvoir accéder à ses systèmes informatiques.

Botnet. Fin juillet 2018, un chercheur de ZDnet a déclaré que Hakai avait été utilisé pour pirater 18 000 Huawei HG352 pour ensuite attaquer les routeurs D-Link utilisant le protocole HNAP et les équipements Realtek. Selon Tempest Security, ce malware est particulièrement actif en Amérique latine.

Botnet. Torii comporte un ensemble de fonctionnalités pour exfiltrer des informations sensibles. Il dispose d’une architecture modulaire capable de récupérer et d’exécuter des commandes et des programmes et utilise plusieurs couches de communication chiffrées. Ce niveau de sophistication lui aurait permis de rester sous le radar des spécialistes du domaine.

Octobre 2018

La  numérisation  des systèmes industriels permet  de  révolutionner  les processus  de  production,  de  stockage,  de  transport  et  de  consommation  d’énergie.  Ces   évolutions, qui   sont aujourd’hui un gage de disponibilité, d’efficacité et de réactivité, sont désormais de plus en plus confrontées aux cyberattaques. Désormais les industriels font face à des attaques de la part de groupes professionnels voir étatiques. Une tendance qui semble toucher tous les secteurs d’activité, mais pose plus particulièrement des problèmes dans le secteur industriel. Fin 2015, les hackers du groupe BlackEnergy étaient les premiers à saboter une infrastructure publique, en plongeant plus d’un million d’Ukrainiens dans le noir. Fin 2016, ils récidivent en utilisant le malware Industroyer, qui partage du code avec les outils de BlackEnergy. Les systèmes industriels sont essentiels pour le fonctionnement et la productivité de nombreuses entreprises. Ces systèmes ont de nombreux composants qui sont souvent reliés à des ordinateurs sous Windows qui sont eux-mêmes censés être connectés à des réseaux sécurisés. Si quelqu’un réussissait à prendre le contrôle à distance de ces systèmes industriels, il pourrait provoquer de nombreux dommages, par exemple une coupure d’électricité ou l’arrêt de la chaîne de production. Par ailleurs, si une entreprise doit mettre à jour son parc informatique tous les 5 ans, les installations des systèmes industriels ne sont renouvelées que tous les 20 ans. Devenus obsolètes, ces outils se révèlent alors comme autant de failles s’exposant à des cybermenaces.

Faits marquants 

Botnet. GhostDNS  est conçu pour voler les identifiants bancaires des internautes. Un nouveau botnet IoT a compromis près de 100 000 routeurs au Brésil. Pas moins de 70 modèles vendus aux particuliers ont été touchés par cette attaque. Celle-ci est particulièrement vicieuse. Les hackers n’ont pas pour but de mettre hors service ces produits ou des sites Web par le biais d’une attaque DDoS, mais de vider des comptes en banque.

Automobile. Le constructeur automobile Tesla a déclaré que l’option de conduite autonome sera retirée temporairement, car elle causait “beaucoup trop de confusion chez les clients”. Cette décision provoque beaucoup d’incompréhensions quant au projet stratégique d’Elon Musk de rendre complètement autonomes ces voitures en 2017.

Automobile. Le propriétaire anglais d’une Tesla Model S a publié sur YouTube une vidéo mettant en scène deux voleurs, réussissant à partir au volant du véhicule. Grâce à un smartphone et une tablette, les deux  hackers  ont réussi à étendre la portée de la clé du propriétaire de la Tesla alors qu’elle se trouvait dans la maison.

Systèmes industriels. Le groupe GreyEnergy mène des attaques ciblées et des campagnes furtives et il utilise toutes les sources possibles pour éviter d’être détecté. Ses cibles ne sont autres que des entreprises du secteur de l’énergie, notamment celles où les postes de travail des systèmes de contrôle industriel fonctionnement avec des logiciels SCADA.

Systèmes industriels. La société de cybersécurité, « Cybereason » a fait des tests de piratages sur une centrale électrique pour montrer à quel point les systèmes de contrôle industriel sont vulnérables. Pour attirer les attaquants, les chercheurs se sont d’abord assurés que le système présente plusieurs vulnérabilités connues et présentent sur des environnements industriels comme des serveurs directement connectés à Internet, des mots de passe faibles…Au bout de deux jours, un attaquant a pénétré le réseau et installe des outils malveillants pour ainsi prendre le contrôle du système.

Novembre 2018

Si personne ne remet en cause l’intérêt et la rapidité des progrès de l’Internet des objets, la sécurité des objets connectés, elle, continue d’inquiéter. Il est relativement simple de les pirater et les nombreuses cyberattaques récentes ont montré les dangers d’un réseau globalisé. Les nouveaux botnets IoT sont de plus en plus efficaces et relativement difficiles à identifier. Le dernier en date, BCMUPnP Hunter, a infecté 100 000 routeurs pour envoyer des spams sur les adresses mail Hotmail, Outlook et Yahoo. Pas moins de 3,37 millions d’adresses IP auraient envoyé le scan BCMPnP_Hunter, l’outil principal de cette attaque. Selon Shodan, l’infection pourrait atteindre 400 000 appareils. Si les autres botnets reprennent le code source et le mode opératoire d’anciens modèles comme Mirai, BCMPnP_Hunter est « original », c’est-à-dire que ses créateurs n’ont ni copié ni publié le code de ce malware sur le Web. Outre la formation de nouveaux botnet, Amazon a été encore épinglé par les consommateurs pour le manque de fiabilité de l’un de ses produits phares, l’Amazon Echo. Cette enceinte connectée est récemment tombée en panne, entraînant un certain agacement de la part des utilisateurs. C’est la troisième fois que cette solution tombe en panne, démontrant ainsi le manque de fiabilité de ce produit. Les assistants domotiques n’ont guère le vent en poupe. Le Google Home Mini a également connu des dysfonctionnements lors de son lancement. L’Amazon Echo fait d’ailleurs partie d’une liste de produits épinglés par la Fondation Mozilla comme étant suspects. En plus des problèmes de fonctionnalité, certains produits possèdent des failles de sécurité dont l’exploitation peut mener à des fuites de données sensibles.

Faits marquants

Domotique. Fin octobre, les enceintes connectées d’Amazon, un service vocal dans le Cloud qui permet de jouer de la musique, passer des appels ou encore vérifier l’état du trafic routier, ne répondaient plus.  Ce dysfonctionnement a touché non seulement les États-Unis, mais également l’Europe (Angleterre, et Allemagne).

Domotique. A l’occasion des fêtes de fin d’année, Mozilla a publié une liste recensant un nombre important d’objets connectés à bannir des pieds du sapin. Baptisée « Privacy not included », cette liste de produits contient un filtre permettant de trier les produits selon leur caractère suspect, du moins suspect au plus suspect donc potentiellement dangereux.

Drone. En mars 2018, des chercheurs en sécurité de l’entreprise israélienne Check Point ont identifié une faille de sécurité au niveau du système d’authentification du Cloud et plus précisément des tokens d’authentification. Ce système se basait sur une approche dite « Single-Sign On ». Autrement dit, un unique token ouvrait l’accès à l’ensemble du compte d’un utilisateur de drones DJI.

Botnet. Repéré par l’équipe de Netlab à Qihoo 360, le botnet exploite une vulnérabilité connue depuis cinq ans. Les mécanismes d’infection sont assez complexes : cette faille permet à un attaquant de concevoir un botnet IoT en exécutant du code malveillant à distance sur un routeur non sécurisé. Aucune authentification n’est requise.