Cybersécurité : les objets mobiles et connectés dans l’œil du cyclone

A l’occasion des Rencontres de la sécurité informatique organisées par Excellium Services, plusieurs intervenants ont insisté sur les enjeux de sécurité soulevés par le succès croissant de l’IoT et l’augmentation exponentielle des applications mobiles.

Jeudi, Excellium Services organisait au Domaine Thermal de Mondorf-les-Bains ses 5è Rencontres de la sécurité informatique. Couvrant une bonne partie des enjeux actuels en matière de cybersécurité, l’événement a été l’occasion de rappeler les dangers qui guettent les entreprises à l’heure où certaines technologies se développent de manière exponentielle. Parmi celles-ci, les appareils mobiles et les objets connectés ont particulièrement retenu l’intervention des intervenants en début de journée. L’IoT (Internet of Things) ou l’Internet de l’Everything est en effet en pleine explosion, et nous ne sommes encore qu’au début d’une vague qui risque de s’abattre sur beaucoup de secteurs. Quant aux appareils mobiles, il se sont aussi démultipliés, tout comme les applications qu’ils accueillent et qui ne sont pas toutes vérifiées comme il se doit…

Une complexité croissante

C’est d’abord le sujet de l’Internet of Things qui a été abordé par Christophe Bianco, Founder & Managing Partner d’Excellium Services. Pour lui, l’arrivée massive d’objets connectés dans l’industrie et le monde de l’entreprise va complexifier un peu plus encore le travail des responsables de la sécurité. « Aujourd’hui, beaucoup peinent déjà à savoir ce qui est connecté aux réseaux de l’entreprise, explique-t-il. Or, dans les prochains mois et les années à venir, de nombreuses autres éléments et couches technologiques vont s’ajouter aux systèmes en place. Ces différents objets, qui fonctionnent avec des langages différents, constituent autant de complexité et donc de menaces pour la sécurité informatique. »

Pour illustrer son propos, Christophe Bianco dégaine un article de presse qui évoque le cas d’un casino de Las Vegas dont le système informatique a été hacké au départ d’un… thermomètre d’aquarium connecté. « Le problème c’est que les personnes qui codent ces petits objets qui viennent se greffer à nos réseaux sont issus des mêmes filières de formation où l’enseignement de la sécurité fait défaut, poursuit Christophe Bianco. Le code qu’ils mettent au point peut être bancal. Ce facteur n’est cependant pas toujours intégré par les responsables sécurité d’une entreprise ou d’une industrie. Il y a donc un vrai travail d’éducation à faire à ce niveau, d’abord. »

La voiture autonome, une cible potentielle

Autre exemple donné par Christophe Bianco : celui des voitures autonomes. « Une voiture autonome contient entre 50 et 100 unités informatiques. Certaines gèrent le multimédia, d’autres les appels d’urgence, d’autres encore les systèmes qui permettent de guider la voiture, etc. Ces différents systèmes sont fournis la plupart du temps par des sous-traitants et le constructeur automobile se contente de les assembler. Un hub connecte ces unités entre elles. Malheureusement, souvent, ces systèmes et leur intercommunication encore moins, ne sont pas suffisamment sécurisés : un hacker peut donc exploiter ces vulnérabilités et rentrer dans ces systèmes et contrôler toute la voiture. » Des spécialistes chinois ont d’ailleurs d’ores et déjà documenté les vulnérabilités relevées dans des véhicules développés par de grands constructeurs comme Mercedes.

Cela dit, les industries qui utilisent des robots sont elles aussi impactées. « Certains réseaux industriels qui contrôlent ces robots tournent encore sous Windows 95 ou 98, indique Christophe Bianco. En interconnectant ces réseaux aux réseaux bureautiques, pour faciliter les échanges, on ouvre la porte à des menaces auxquelles ces anciens systèmes ne peuvent pas faire face. Pour les industriels, c’est très problématique, parce qu’il ne peuvent souvent pas patcher eux-mêmes leurs robots ou leur réseau industriel. Dans la profession, cette problématique de l’obsolescence est un important sujet.»

Les appareils mobiles, de vraies passoires

Les appareils mobiles – tablettes, smartphones, etc. – sont eux aussi des portes d’entrée potentielles pour des malwares qui peuvent causer des torts sérieux à votre entreprise : fuite de données, crash d’applications qui assurent des tâches opérationnelles, etc. Dans un autre workshop de la matinée, Pierre Ruaro, Securité Consultant au sein d’Excellium Services, a donc voulu mettre en avant les risques de ces appareils, et les moyens de mieux se protéger. « 5,6 millions d’applications sont aujourd’hui disponibles sur Androïd et iOS, précise-t-il. Ce n’est pas étonnant, vu que cela coûte à peine 25 $ de mettre en ligne une application sur le Play Store… Mais alors que ces applications sont tout de même screenées régulièrement par Google ou Apple, ce n’est pas le cas des applications tierces, d’où viennent souvent les problèmes. »

Trois catégories d’attaques peuvent atteindre les appareils mobiles et, à travers eux, une entreprise ou une industrie : des attaques sur les appareils mobiles et leur contenu, sur le réseau, ou sur les applications utilisées. Un malware peut, par exemple, réaliser des captures d’écran d’un mail confidentiel peuvent tout à fait être réalisées et envoyées au responsable de l’infection… Il faut donc faire preuve de beaucoup d’ingéniosité pour fermer toutes les portes à une éventuelle attaque. Les sociétés Checkpoint et Trend Micro ont, dans ce but, présenté leurs solutions respectives. Celles-ci répondent aux difficultés que représentent ces multiples canaux d’entrée de la menace, en développant plusieurs couches de protection. Elles permettent par exemple de verrouiller une application mail le temps que de neutraliser la menace.

On le voit, les enjeux liés au développement de l’IoT et des appareils mobiles sont nombreux. Ils confrontent les responsables de la sécurité informatique à de nouveaux défis, qu’ils ne peuvent aujourd’hui plus ignorer.