Objets connectés et sécurité des données. Le cas de la cyberattaque d’ octobre 2016

L’IoT (Internet des objets) est annoncé comme «la prochaine révolution industrielle» parce qu’il va changer notre mode de vie, ainsi que la façon dont les gouvernements et les entreprises interagissent avec le monde. La spectaculaire cyber attaque du 21 octobre 2016, était un signal de réveil concernant la sécurité et la vulnérabilité des IoT.  Allons- nous vivre sous la menace constante d’une attaque à l’heure du web 3.0?

L’historique d’une attaque sans précédent

L’attaque massive a bloqué certains sites les plus populaires au monde, comme Twitter, Paypal, CNN, Spotify, New York Times, Wall Street Journal, Yelp et certaines entreprises hébergées par Amazon. Le point en commun était que tous étaient clients de Dyn, une entreprise aux États-Unis. Les attaques ont commencé depuis l’est des Etats Unis avant de s’étendre à d’autres parties du pays et de l’Europe.

Les hackers utilisaient des centaines de milliers d’appareils connectés à Internet qui avaient déjà été infectés par un code malveillant – appelé «botnet» pour forcer une attaque de déni de service distribué (DDoS) particulièrement puissante. Une partie des objets connectés utilisés pour mener cette attaque a été fabriquée et vendue par la société chinoise Xiongmai, qui les a rappelés en urgence.

La sécurité des usagers des objets connectés n’est pas vraiment assurée

Plus les IoT vont «dominer» notre vie quotidienne, plus la confidentialité et la sécurité doivent être intégrées dans la conception des produits dès leur création.

Malheureusement, les fabricants se concentrent principalement sur la performance et la facilité d’utilisation des dispositifs IoT et ignorent les mesures de sécurité et les mécanismes de cryptage. C’est pour cette raison qu’ils sont systématiquement piratés. Eric Wenger, directeur de la cyber sécurité et de la politique de confidentialité de Cisco, a déclaré que la plupart des développeurs de logiciels n’ont tout simplement pas de plan B nécessaire pour protéger la confidentialité et la sécurité de leurs appareils. «Les entreprises ont besoin de penser à ce sujet à partir de la conception», déclare Wenger. «La collecte non-gérée de données est une grande responsabilité. C’est un coût caché qui est sur votre bilan». Cisco investit massivement dans la certification et pratique la transparence afin de maintenir la confiance de ses clients.

Brian Krebs, un blogueur américain, expert en criminalité numérique, a lui aussi été victime des hackers et explique que «le problème c’est que la cybercriminalité est facile…Il est peu coûteux de fabriquer du matériel qui fonctionne, mais il est beaucoup plus cher de s’assurer qu’il ne fonctionne que pour vous et il y a des entreprises qui n’ont aucun intérêt à concevoir un dispositif sécurisé».

La vraie menace est que les fabricants irresponsables qui manufacturent ce type d’ objets, refusent de sécuriser leurs appareils avec un cryptage de base.

Aujourd’hui, il est estimé qu’il existe six milliards d’objets connectés dans le monde et d’ici 2020 il y aura 24 milliards de dispositifs connectés ce qui veut dire que nous serons de plus en plus dépendants de cette technologie. Les vulnérabilités de sécurité dans les IoT sont profondes et omniprésentes, et elles ne seront pas fixées si le marché n’est pas réglementé. Nous devons discuter de manière proactive de bonnes solutions réglementaires; sinon, un désastre nous attend.

Eve Tsirigotaki

Sources :

https://gemaltoblog.wpengine.com/security/2016/10/31/when-things-attack-mirai-ddos-attack-iot-security-weakness/

http://www.france24.com/fr/20161024-piratage-dyn-attaque-danger-objets-connectes-iot-cybersecurite-internet-twitter-paypal

https://www.theguardian.com/technology/2016/oct/22/cyber-attack-hackers-weaponised-everyday-devices-with-malware-to-mount-assault

Menu Principal