Nous suivre Industrie Techno

« Les entreprises ne prennent pas la responsabilité de sécuriser les objets connectés qu’elles conçoivent », déplore Alex « Jay » Balan, de Bitdefender

Coline Buanic
Soyez le premier à réagir

Soyez le premier à réagir

« Les entreprises ne prennent pas la responsabilité de sécuriser les objets connectés qu’elles conçoivent », déplore Alex « Jay » Balan, de Bitdefender

© Tiberiu Minzu

La conférence de cybersécurité RSA 2021 se tient en ligne cette semaine. Diffusion depuis San Francisco oblige, il faudra veiller jusqu’à 1h30 du matin pour assister ce vendredi aux dernières présentations. Alex « Jay » Balan, chef de l’équipe de recherche en sécurité de Bitdefender, y a livré lundi soir son analyse de la sécurité de l’IoT, issue de quatre années de recherches de vulnérabilités.

Industrie & Technologies : Votre conférence à la RSA 2021 faisait le bilan des 4 dernières années de recherche de votre équipe sur les vulnérabilités de l’IoT. Que retenez-vous de cette période ?

Alex Balan : Il est de plus en plus facile pour nous de trouver des vulnérabilités et de réussir à hacker des objets connectés. Chaque vecteur d’attaque découvert est réutilisé pour en trouver d’autres, et ainsi de suite. Les vulnérabilités s’accumulent avec le temps car les fabricants ne réagissent pas toujours. Pourtant, nous les contactons systématiquement par tous les canaux possibles pour leur faire remonter les vulnérabilités trouvées. Car avant de les rendre publiques, nous devons leur laisser le temps de les réparer. Mais les entreprises n’assument pas la responsabilité de sécuriser les appareils qu’elles conçoivent et ne font pas l’effort d’être proactives. Résultat, quand un nouveau produit connecté arrive sur le marché, on retrouve souvent des erreurs connues depuis 5 ans...

Comment se positionne Bitdefender ainsi que votre équipe au sein du secteur de l’IoT ?

Bitdefender va fêter ses 20 ans cette année. Basée à Bucarest, l’entreprise a sécurisé une position de numéro 1 mondial dans la détection et la prévention des risques. Aujourd’hui, environ 40% des solutions de cybersécurité existantes utilisent une technologie Bitdefender ! Mon équipe, par contre, n’a pas de clients : nous partageons nos découvertes gratuitement aux entreprises concernées. Nous avons commencé à nous intéresser à l’IoT comme vecteur potentiel d’attaques en 2014. Depuis quelques années, nous nous penchons tout particulièrement sur le cloud. Trouver une vulnérabilité dans la mise en œuvre du cloud associé à l’IoT a un impact bien plus important puisque le hacker n’a pas besoin d’être à proximité et peut attaquer tous les objets connectés d’un coup.

Quelles sont les vulnérabilités les plus notables qui ont été découvertes ?

La mise en œuvre non sécurisée de S3, le système d’hébergement de données d’Amazon, est commune. S’il n’est pas configuré correctement, il peut autoriser l’accès aux fichiers à des utilisateurs non authentifiés – c’est-à-dire à tout le monde. Des dizaines voire des centaines d’entreprises ont ainsi vu les données de leurs clients rendues publiques sur internet. Des objets connectés utilisent aussi parfois S3 pour stocker des enregistrements vidéo, des informations de débogage... Une autre vulnérabilité intéressante concerne MQTT [« message queuing telemetry transport », ndlr). Il s’agit d’un protocole de messagerie utilisé pour produire des notifications rapides - par exemple lorsque la sonnette connectée de ma porte d’entrée m’informe que quelqu’un est à la porte. Une mauvaise configuration autorisera les hackers à voir tous les événements enregistrés sur le serveur du MQTT [par exemple, l’alerte indiquant que l’objet connecté est éteint, que son capteur a détecté quelque chose, ou encore le changement d’un mot de passe, ndlr].

Si vous deviez conseiller une mesure pour sécuriser l’IoT, quelle serait-elle ?

Le recours ultime est la détection d’anomalies. Grâce au machine learning, le fonctionnement « normal » des appareils est déterminé – les adresses IP avec lesquelles ils ont l’habitude de communiquer ou les schémas du trafic habituel par exemple. Tout comportement qui sort de l’ordinaire peut ainsi être détecté, et l’objet compromis isolé des autres. Mais c’est un jeu du chat et de la souris avec les hackers, il faut toujours améliorer la qualité de la détection.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Des micro-aéronefs instrumentés dispersés en chute libre maîtrisée pour scruter l'air ambiant

Des micro-aéronefs instrumentés dispersés en chute libre maîtrisée pour scruter l'air ambiant

Une équipe de recherche internationale a mis au point des structures volantes en trois dimensions de très petite taille pouvant[…]

Un guide d'ondes compact et à faible bruit pour amplifier la lumière

Fil d'Intelligence Technologique

Un guide d'ondes compact et à faible bruit pour amplifier la lumière

[FIC 2021] Airbus Cybersecurity et Alstom déploient une offre commune pour la cybersécurité des trains

[FIC 2021] Airbus Cybersecurity et Alstom déploient une offre commune pour la cybersécurité des trains

Avec Cybersecurity for industry, le FIC veut devenir le rendez-vous de la cybersécurité industrielle en Europe

Avec Cybersecurity for industry, le FIC veut devenir le rendez-vous de la cybersécurité industrielle en Europe

Plus d'articles