Archives de catégorie : IOT

backdoor, Chiffrement, cryptage, Cybersécurité, IOT, Securite informatique

Une faille de sécurité dans la gamme Smart Home de LG

Découverte d’une vulnérabilité baptisée HomeHack dans les appareils intelligents LG SmartThinQ. Des objets connectés pour la maison qui peuvent être contrôlé, à distance, par des personnes non autorisées.

Les vulnérabilités de l’application mobile et du Cloud LG SmartThinkQ ont permis à l’équipe de recherche de Check Point de se connecter à distance à l’application dans le Cloud SmartThinQ, de prendre le contrôle du compte LG légitime de l’utilisateur, et de prendre le contrôle de l’aspirateur et de sa caméra intégrée. Une fois le compte LG d’un utilisateur spécifique piraté, tout appareil LG associé à ce compte pourrait être contrôlé par le pirate, y compris les robots aspirateurs, les réfrigérateurs, les fours, les lave-vaisselle, les machines à laver et les climatiseurs.

La vulnérabilité HomeHack fourni aux hackers la possibilité d’espionner les activités personnelles des utilisateurs via la caméra vidéo du robot aspirateur Hom-Bot, qui envoie une vidéo en direct à l’application LG SmartThinQ associée, dans le cadre de sa fonction HomeGuard Security. Selon les appareils LG présent au domicile de leur propriétaire, les pirates pourraient également éteindre ou mettre en marche les machines à laver la vaisselle ou le linge.

« À mesure qu’un nombre croissant d’appareils intelligents sont utilisés à domicile, les pirates cesseront de cibler des appareils individuels pour pirater les applications contrôlant des réseaux d’appareils. Les cybercriminels auront ainsi encore plus d’opportunités d’exploiter les failles des logiciels, de perturber le domicile des utilisateurs et d’accéder à leurs données confidentielles, » déclare Oded Vanunu, head of products vulnerability research chez Check Point. « Les utilisateurs doivent prendre conscience des risques liés à la sécurité et la confidentialité lorsqu’ils utilisent leurs objets connectés, et il est essentiel que les fabricants se concentrent sur la protection des appareils intelligents contre les attaques, en mettant en place une sécurité robuste lors de la conception des logiciels et des appareils. »

Les vulnérabilités de l’application mobile SmartThinQ ont permis aux chercheurs de Check Point de créer un faux compte LG, puis de l’utiliser pour prendre le contrôle du compte LG légitime d’un utilisateur, et contrôler à distance ses appareils LG intelligents. Check Point a communiqué la vulnérabilité à LG le 31 juillet 2017, conformément à sa politique de communication responsable. LG a corrigé les problèmes signalés dans l’application SmartThinQ fin septembre. « Heureusement, LG a fourni un correctif de qualité pour empêcher l’exploitation des vulnérabilités dans son application et ses appareils SmartThinQ, » ajoute Oded Vanunu.

Correction et communication

« Dans le cadre de la mission de LG Electronics d’améliorer la vie des consommateurs dans le monde entier, nous élargissons notre gamme d’appareils ménagers intelligents de nouvelle génération, tout en privilégiant le développement de logiciels sûrs et fiables, » déclare Koonseok Lee, Manager of Smart Development Team, Smart Solution BD, chez LG Electronics. « En août, LG Electronics a fait équipe avec Check Point Software Technologies pour lancer un processus avancé de détection des problèmes de sécurité, et a immédiatement commencé à corriger les programmes. Le 29 septembre, le système de sécurité utilisait la version mise à jour 1.9.20 sans aucun problème. LG Electronics prévoit de continuer à renforcer ses systèmes de sécurité logicielle, et travailler avec des fournisseurs de solutions de cybersécurité tels que Check Point pour protéger les objets connectés et les rendre encore plus pratiques. »

Pour protéger leurs appareils, les utilisateurs de l’application mobile et des appareils LG SmartThinQ doivent s’assurer de disposer des toutes dernières versions logicielles sur le site web de LG. Check Point conseille également aux consommateurs de prendre les mesures suivantes pour protéger leurs appareils intelligents et leurs réseaux Wifi personnels contre les intrusions et la prise de contrôle à distance.

Mise à jour

Mettre à jour l’application LG SmartThinQ vers la dernière version (V1.9.23). Vous pouvez effectuer la mise à jour de l’application via Google Play Store, Apple App Store ou via les paramètres de l’application LG SmartThinQ. Mettre à jour les appareils physiques vers la dernière version. Vous pouvez le faire en cliquant sur le produit dans le tableau de bord de l’application smartThinQ (un message contextuel vous prévient si une mise à jour est disponible)

La gamme d’appareils intelligents et de solutions de sécurité SmartThinQ de LG permet aux utilisateurs de surveiller et de gérer leur domicile depuis un smartphone. Les ventes du robot aspirateur Hom-Bot ont dépassé 400 000 unités durant la première moitié de 2016. En 2016, 80 millions d’appareils intelligents pour la maison ont été expédiés dans le monde entier, soit une augmentation de 64 % par rapport à 2015.

Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, IOT, Leak, Mise à jour, Particuliers, Patch, Piratage, Sauvegarde, Securite informatique, Vie privée

Les équipements médicaux seront-ils la prochaine cible des cybercriminels ?

Equipements médicaux et les pirates ! Le thème de l’édition 2017 du Cyber Security Weekend européen était “Next” – the near future and threats we will face ». A cette occasion, des experts de Kaspersky Lab, de KPN et d’EUMETSAT se sont réunis pour évoquer leurs prévisions et études respectives. Les participants ont ainsi pu écouter les prévisions sur ce que réservent les cybercriminels aux hôpitaux et aux patients en 2018.

Les données médicales contenus dans les équipements médicaux ont une très grande valeur sur le marché noir et les systèmes médicaux revêtent une importance vitale. Dès lors, les organisations de santé sont une proie de choix pour les tentatives d’extorsion. Il est donc essentiel que la communauté des spécialistes de la sécurité travaille en étroite collaboration avec le monde de la santé et ses fournisseurs dans le but de renforcer la protection des appareils utilisés, de veiller à ce que les nouveaux systèmes soient sécurisés et sûrs d’entrée de jeu, et pour que les équipes médicales soient bien formées aux questions de cybersécurité.

Le paysage en 2017

En 2017, les recherches ont montré à quel point les informations médicales et les données des patients stockées au sein d’une infrastructure de santé connectée étaient peu protégées et donc, accessibles en ligne par n’importe quel cybercriminel motivé. Les experts ont par exemple découvert que près de 1500 appareils utilisés pour le traitement des imageries médicales étaient accessibles au public. En outre, les recherches ont démontré qu’un nombre non négligeable de logiciels et d’applications en ligne de nature médicale, renferment des vulnérabilités pour lesquelles il existe des exploits publics. Ce risque se voit accru par la valeur des informations médicales, dont comptent bien profiter les cybercriminels pour leur bénéfice personnel. Ils savent en effet pertinemment qu’elles sont faciles d’accès et que les organismes médicaux seront toujours prêts à payer pour les récupérer.

A quoi faut-il s’attendre pour 2018 ?

Le secteur médical va être de plus en plus menacé, étant donné le nombre croissant d’appareils connectés et d’applications vulnérables déployés par les services de santé. Le monde de la santé est soumis à différents facteurs qui influent sur son fonctionnement : la nécessité d’en faire plus, à moindre coût, avec les ressources existantes ; le besoin croissant des soins à domicile pour les populations vieillissantes et les pathologies chroniques telles que le diabète ; l’aspiration du grand public à adopter un mode de vie plus sain ; et la prise de conscience que le partage de données et le suivi croisé des patients par différentes organisations sont la clé pour améliorer la qualité et l’efficacité des soins médicaux.

9 grandes menaces dans les 12 prochains mois

Les attaques ciblant les équipements médicaux avec un objectif d’enrichissement personnel, de malveillance pure, ou pour des motivations pire encore, seront en recrudescence. Les équipements médicaux spécialisés sont de plus à en plus nombreux à être connectés à des réseaux informatiques. Si ces derniers sont pour la plupart privés, une seule connexion peut suffire pour permettre à des attaquants de s’engouffrer dans la brèche et de diffuser des programmes malveillants à l’aide de ce réseau « pourtant fermé ». Or s’en prendre à des équipements peut perturber l’administration de soins, voire être fatal, ce qui augmente grandement les probabilités de versement de rançons en cas de tentative d’extorsion.

Il faut s’attendre à une hausse du nombre d’attaques ciblées visant à dérober des données. Le volume d’informations médicales et de données patients stockées et traitées par les systèmes de santé connectés, augmente tous les jours. Ce type de données est très coté sur le marché noir et peut servir à des fins de chantage et de tentative d’extorsion. D’autant que les criminels ne sont pas les seuls intéressés : l’employeur ou l’assureur d’une victime peuvent être intéressés de connaitre ce qui peut impacter les primes d’une personne ou son emploi.

Équipements médicaux dans la ligne de mire

Le nombre de cas d’attaques avec ransomware, visant les organismes médicaux, va augmenter. Ces tentatives s’appuieront sur le chiffrement de données et le blocage des appareils : les coûts exorbitants des équipements médicaux connectés et leur caractère souvent vital en feront des cibles de choix pour des attaques et tentatives de racket.

Le concept de périmètre professionnel clairement défini va continuer de s’effriter au sein des institutions médicales, dans la mesure où un nombre croissant d’appareils sont connectés à Internet – stations de travail, serveurs, appareils mobiles et équipements divers. Les criminels ont un choix toujours plus large pour tenter d’accéder à des informations médicales et à des réseaux. Mettre en place des systèmes de protection et sécuriser les utilisateurs finaux ou points de terminaison, va devenir le nouveau défi des équipes chargées de la sécurité dans les structures médicales. En effet, tous les nouveaux appareils créent autant de points d’accès à l’infrastructure.

Les données sensibles et confidentielles transmises aux professionnels de la santé par les appareils portables connectés, les implants notamment, vont être de plus en plus pris pour cible par des attaquants. En effet, ces appareils sont de plus en plus utilisés pour les diagnostics médicaux, les traitements et les soins préventifs. Les pacemakers et les pompes à insuline en sont de bons exemples.

Les systèmes d’information médicaux nationaux et régionaux qui échangent des données patients non-chiffrées, ou non sécurisées, avec des praticiens, des hôpitaux, des cliniques et autres établissements, vont être de plus en plus ciblés. Les attaquants vont chercher à intercepter les données lorsqu’elles se trouvent en dehors du pare-feu des réseaux. Il en sera de même pour les données échangées par les établissements médicaux et les compagnies d’assurance santé.

Équipements médicaux, mais pas que…

Le succès des petits appareils de santé et de fitness connectés est une aubaine pour les attaquants, car ils livrent de gros volumes de données personnelles généralement peu protégées. Avec l’engouement pour l’amélioration du bien-être, les bracelets, systèmes de suivi et autres montres connectées vont héberger et transmettre des grandes quantités de données personnelles, protégées à minima. Les cybercriminels n’hésiteront pas à profiter de cette véritable mine d’or.

Les attaques paralysantes – de type DDoS (avec refus de service) ou ransomware qui détruit les données (à l’instar de WannaCry) – posent un problème croissant pour les organismes de soins de santé de plus en plus digitalisés. Le nombre de stations de travail, processus informatisés de traitement des archives médicales et des données commerciales, qui sont le quotidien de toute organisation à la page, élargissent la surface d’attaque possible pour les cybercriminels. La situation est d’autant plus critique pour le monde de la santé dans les cas d’urgences avec pronostic vital engagé.

Enfin, et surtout, les technologies émergentes telles que les membres artificiels connectés, les implants destinés à apporter des améliorations physiologiques, la réalité augmentée embarquée conçues pour résoudre des problèmes de handicap et rendre l’être humain plus fort et en meilleure forme, constituent, elles aussi de nouvelles opportunités pour les attaquants imaginatifs armés d’intentions malveillantes. Ces nouvelles technologies médicales doivent donc être sécurisées dès le stade de leur conception.

Ce document est le premier d’une série publiée par Kaspersky Lab, consacrée aux prévisions annuelles de ses experts. Les autres annonces concerneront les domaines de l’automobile, des services financiers et de la fraude, de la sécurité industrielle et des crypto-monnaies. Tous seront accompagnés des traditionnelles prévisions de menaces ciblées. L’intégralité des Kaspersky Lab Threat Predictions for 2018 sera disponible sur Securelist dans la semaine.

BYOD, Chiffrement, Cybersécurité, Entreprise, Fuite de données, IOT, Justice, loi, Patch, Securite informatique

La sécurité des objets connectés dans une motion aux Pays-Bas

Les Pays-Bas viennent d’adopter une motion imposant aux fabricants d’ objets connectés (IoT) des tests de sécurité informatique.

Voilà une loi traitant de la sécurité des objets connectés qui fait tendre l’oreille. Les Pays-Bas viennent de valider une motion qui impose des tests de piratage à l’encontre des objets connectés vendu dans le pays. Bref, l’Internet of Things (IoT) pris au sérieux et d’une maniérè sécuritaire. C’est l’idée du sénateur Maarten Hijink qui demande au gouvernement et aux entreprises d’organiser des « pentests », des tests de sécurité, afin de tester les appareils connectés. Il y a quelques mois, la Chambre des députés avait réclamé au gouvernement d’agir sur ce même thème, la sécurité des objets connectés. Dans cette nouvelle motion, l’état est inviter à des actions proactives, comme le « hack éthique » dont la mission est d’améliorer la sécurité des objets, donc des utilisateurs.

Bitcoin, BYOD, Chiffrement, Cybersécurité, Entreprise, IOT, Mise à jour, Patch, Securite informatique

Quand votre entreprise mine de la crypto-monnaie… pour les pirates

Votre ordinateur consomment-ils de l’énergie pour vos uniques intérêts ? L’extraction de cryptomonnaie présente une nouvelle menace pour les entreprises. Le tout dernier Threat Index de Check Point révèle une augmentation des extractions de cryptomonnaie en octobre, avec CoinHive en sixième place des logiciels les plus utilisés au monde.

Non, CoinHive ou les crypto-monnaies (cryptomonnaie) ne sont pas malveillantes. Leurs utilisations inapropriées par des malveillants transforment ces beaux projets en merdier sans nom. C’est un peu comme dire que la voiture est illégale car des chauffards roulent à 230kms heures et tuent des gens. Que des braqueurs se servent d’une automobile pour attaquer une banque. Toujours est-il que l’ambiance autour des monnaies démateriealisées ne va pas s’arranger dans les semaines à venir.

Suite à la récente étude de Check Point démontrant que les extracteurs de cryptomonnaie peuvent frauduleusement utiliser jusqu’à 65 % des ressources totales en CPU d’un utilisateur final, sans son approbation, la variante CoinHive a fait son apparition dans le Threat Index d’octobre en 6e position. Ce logiciel malveillant est conçu pour extraire la cryptomonnaie Monero lorsqu’un utilisateur consulte une page web, sans l’approbation de l’utilisateur. CoinHive implante du code JavaScript, qui utilise ensuite le CPU de l’utilisateur final, impactant gravement les performances de sa machine.

Comme en septembre, RoughTed et Locky sont les deux menaces les plus répandues. Cependant, le logiciel malveillant Seamless, un redirecteur transparent de trafic, a fait son entrée parmi les trois premiers. Ce logiciel malveillant redirige silencieusement ses victimes vers une page web pirate. Elle infecte à l’aide d’un kit d’exploitation de vulnérabilités. L’infection réussie permet au pirate de télécharger d’autres logiciels malveillants.

Maya Horowitz, Threat Intelligence Group Manager chez Check Point, précise : « L’émergence de Seamless et de CoinHive souligne une fois de plus le besoin en technologies avancées de prévention des menaces pour sécuriser les réseaux contre les cybercriminels. L’extraction de cryptomonnaie est un nouvel acteur silencieux et pourtant significatif dans le paysage des menaces. Elle permet à des pirates de générer d’importants revenus tandis que les postes et les réseaux des victimes souffrent de latence et d’une baisse de performance. »

Top 3 des logiciels malveillants en octobre 2017

RoughTed est un logiciel de publicité malveillante. Contournement les bloqueurs de publicités. RT déclenche une série d’escroqueries, d’exploitations de vulnérabilités et de logiciels malveillants. Il est en mesure d’attaquer n’importe quel type de plate-forme et de système d’exploitation. Il utilise des techniques de prise d’empreintes pour délivrer l’attaque la plus pertinente.

Locky est connu. Un ransomware diffusé en février 2016. Il se propage principalement via des mails et des pièces jointes au format Word ou Zip. Il télécharge et installe un logiciel qui chiffre les fichiers des utilisateurs.

Seamless est un système de répartition de trafic. Il redirige silencieusement ses victimes vers une page web malveillante. Elle infecte les machines à l’aide d’un kit d’exploitation de vulnérabilités. L’infection permet au pirate de télécharger d’autres logiciels malveillants.

La liste des logiciels malveillants les plus couramment utilisés pour attaquer les actifs mobiles des entreprises a connu un changement par rapport à septembre, avec le logiciel rançonneur LeakerLocker pour Android apparaissant en seconde position.

Top 3 des logiciels malveillants mobiles

Triada – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur. LeakerLocker – Un logiciel rançonneur sur Android accédant aux données personnelles de l’utilisateur, puis les lui présentant en le menaçant de les divulguer en ligne en cas de non-paiement d’une rançon. Lootor – Outil de piratage ciblant des vulnérabilités du système d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement. La liste complète des 10 principales familles de logiciels malveillants en octobre est disponible sur le Blog Check Point.

Pour la France, le top 5 comprend : Roughted, Locky, Pushdo, Seamless ou encore Conficker. CoinHive s’affiche à la 6ème position.

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, IOT, Particuliers, Securite informatique, Vie privée

Les Français plébiscitent les objets connectés sans en mesurer les risques !

A l’occasion de Noël, les objets connectés semblent être le cadeau de cette fin d’année : tendance d’achat, appréhension de la sécurité, prise de mesure, etc. L’étude « Most Hackable Gifts » dévoile la liste des cadeaux de Noël les plus prisés à la fois par les consommateurs, mais aussi par les cybercriminels.

Objets connectés, Noël et les pirates. Ainsi, parmi les cadeaux les plus attendus au pied du sapin figurent les indétrônables tablettes et smartphones (60 %) et autres ordinateurs portables (30 %). Les accessoires domotique de l’habitat connecté (25%) sont également très populaires cette année, aux côtés des jouets connectés (22 %), des casques de réalité virtuelle (19 %) et des Smart TV (17 %).

Une méconnaissance des risques associés aux objets connectés

Une grande majorité de consommateurs Français reconnait la nécessité de sécuriser ordinateurs portables, tablettes et smartphones (64 %). Mais moins 1/3 estiment que les casques réalité virtuelle, les jouets et autres accessoires connectés doivent être sécurisés.

Il faut rappeler qu’ils gèrent également un certain volume d’informations personnelles. 15 % pensent même que les objets connectés n’ont pas besoin d’être sécurisés.

« A Noël, les objets connectés seront cette année encore à l’honneur. Or, on constate que les consommateurs ne mesurent pas tous l’importance de la protection de ces appareils et du risque auquel ils s’exposent lors d’une connexion avec un device non connecté« , précise Lam Son Nguyen expert en sécurité – McAfee.

91 % estime qu’il est important/voir très important que leur identité en ligne et leurs appareils connectés soient sécurisés. La moitié des consommateurs prennent des mesures pour s’assurer que leur nouvel appareil connecté est protégé avant utilisation. 23% ne sont d’ailleurs pas sûrs de savoir prendre les mesures adaptées en matière de sécurité. Les consommateurs sont tout simplement mal informés sur les dangers et la manière dont il faut protéger ces appareils connectés.

Peu conscients des risques ils ne mettent pas en œuvre les mesures nécessaires pour se protéger ce que les cybercriminels pourraient exploiter pour le piratage de leurs objets et le vol de leurs données personnelles.

Ces informations révèlent l’importance pour les consommateurs d’être vigilants quant aux enjeux de sécurité inhérents aux objets connectés qu’ils déposeront au pied du sapin de Noël. Il est important que chacun mesure les risques liés à tout objet connecté et cesse de penser qu’il suffit simplement de s’en remettre aux mesures des fabricants pour éviter le vol de leurs données dans le temps. Il serait bon, aussi, que les fabricants fournissent des informations sur la sécurisation générale, ainsi que de leur produit. L’éducation devrait être imposée dans chaque notice, en plus des obligations légales copiées à longueur de page de certaines notices.

Quelques réflexes simples à adopter en matière de sécurité des objets connectés

D’abord, lisez la notice. Vous pourriez y trouver quelques réponses (mot de passe, …). Ensuite, protéger votre réseau domestique. Plus facile à dire, qu’à faire, mais loin d’être impossible si vous vous y penchez un peu. DataSecurityBreach vous propose par exemple de regarder du côté des adresses MAC de vos materiels et votre box, ou encore du côté de la double authentification. Mettre à jour les logiciels et applications des objets connectés. Voyez si elles peuvent être automatisées. Sécuriser votre appareil avec une solution dédiée : antivirus, firewall, … Privilégiez une connexion Wi-Fi sécurisée. Celle de la maison, mais avec un bonus qu’est le contrôle par l’adresse MAC. Protéger vos objets avec des mots de passe complexes. Même si cela n’est pas gage d’efficacité optimale, un mot de passe fort (lettres, majuscules, chiffres et signes de ponctuations) permet de retarder le malveillant qui ira voir ailleurs. Et au moindre doute, agissez !

Chiffrement, Communiqué de presse, Cybersécurité, IOT

La sécurité de l’IoT et de l’OT est une véritable bombe à retardement pour les entreprises

Les décideurs métiers et IT sont anxieux par rapport à la sécurité de l’IoT, notamment en raison des dommages possibles liés à une faille de sécurité.

ForeScout Technologies, Inc., spécialiste de la sécurité de l’Internet of Things (l’IoT), dévoile les résultats de sa dernière étude portant sur l’impact de l’IoT et des technologies opérationnelles (Operation Technology – OT) sur les entreprises. Elle se penche notamment sur les dilemmes de cybersécurité, inhérents à l’IoT et à l’OT, causés au sein des équipes de sécurité et métiers.

L’étude, conduite par le cabinet d’analystes indépendant Forrester Consulting, révèle que ces mêmes équipes sont soumises à de fortes pressions en matière de sécurité de l’IoT et des technologies opérationnelles. Ce stress est notamment dû aux répercussions négatives qu’une faille de sécurité pourrait avoir sur le business de l’entreprise. De plus, la majorité des entreprises (82 %) peinent à identifier l’ensemble des objets connectés à leur réseau. Quant à la désignation d’un responsable de la sécurité de l’IoT, les décideurs IT comme métiers ne peuvent s’accorder sur une réponse précise.

« Les résultats de cette enquête démontrent un changement dynamique dans la manière dont les entreprises abordent la sécurité et les risques liés à l’IoT. Chaque nouvel appareil connecté représente un vecteur supplémentaire d’attaque. Il suffit d’un seul périphérique pour compromettre un réseau entier et perturber les activités de l’entreprise », explique Michael DeCesare, Président et CEO de ForeScout. « La sécurisation de l’IoT n’est pas seulement un enjeu de cybersécurité mais un également un enjeu business. Une personne malveillante exploitera le maillon le plus faible, qui opéré à un niveau de risque même minime, représente déjà un danger. Pour se prémunir, les entreprises ont donc besoin d’une visibilité complète. »

D’après les résultats de l’étude, 77 % des entreprises interrogées reconnaissent que l’utilisation accrue des appareils connectés génère d’importants challenges en matière de sécurité. De plus, 76 % des responsables interrogés ont déclaré que leurs doutes quant à l’IoT les obligeaient à repenser leurs stratégies de sécurité informatique.

Selon Forrester Research, « l’IoT et l’OT apportent des avantages significatifs aux entreprises à travers le monde. Elles vont dans la bonne direction en ce qui concerne les investissements en matière de sécurité de l’IoT. Nous entendons davantage sensibiliser aux défis et aux best pratices à mener en la matière. Car les conclusions de l’enquête révèlent qu’il faut renforcer les actions autour de la sécurité l’IoT. »

Selon l’étude de Forrester Consulting, « Fail to plan, plan to fail », les entreprises voient déjà les avantages d’une nouvelle connexion de périphériques. Mission améliorer les processus/fonctions métier.

Les progrès technologiques ont donné lieu à un déluge de nouveaux types de dispositifs connectés. Des IoT qui, à leur tour, introduisent de nouvelles menaces de sécurité.

Les entreprises sont mal équipées pour les combattre et les reconnaître.

Avec un financement accru et une nouvelle stratégie de sécurité axée sur la visibilité et la conformité, les entreprises peuvent commencer à faire des progrès. In fine, elles réduiront leur anxiété au sujet de l’IoT et regagneront confiance en leur réseau.

L’angoisse autour de la sécurité IoT paralyse l’entreprise

L’IoT engendre un nouveau niveau de complexité et un potentiel impact négatif sur les activités de l’entreprise en cas de défaillance de la sécurité. Plus de la moitié des répondants (54 %) reconnaissent que la sécurité de l’IoT les rend anxieux. Les responsables métiers le sont notamment plus (58 %) que leurs homologues de l’informatique (51 %). En effet, ils comprennent l’ampleur qu’une violation peut avoir sur le fonctionnement de l’entreprise. De plus, ils n’ont parfois pas l’assurance que leurs dispositifs soient totalement sécurisés. Sans compter que ce sentiment de détresse est dû aux coûts supplémentaires et au temps nécessaire pour gérer ces dispositifs, ainsi qu’au manque de compétences en matière de sécurité.

Les obstacles et les complications de la conformité mènent au risque

Pour près de la moitié des informaticiens (45 %) les contraintes budgétaires constituent le principal obstacle à davantage d’investissements dans le domaine de la sécurité IoT. Le scepticisme de la Direction entre également en ligne de compte. Or, sans investissement supplémentaire, 40 % des professionnels de la sécurité continuent de s’appuyer sur une approche de sécurité traditionnelle pour protéger l’IoT et l’OT. Cette stratégie empêche les entreprises de détecter tous les périphériques connectés au réseau. In fine, cela ouvre la porte à un plus grand risque de sécurité ainsi qu’à des complications potentielles de conformité. D’autant plus que 82 % des entreprises reconnaissent ne pas être en mesure d’identifier l’intégralité des appareils connectés à leur réseau, courant ainsi un véritable risque. De plus, 59 % s’avouent même prêtes à tolérer un niveau de risque moyen voir élevé par rapport aux exigences de conformité de la sécurité de l’IoT. Une telle approche est préoccupante quand 90 % des entreprises s’attendent à voir le volume d’appareils connectés augmenter au cours des prochaines années.

Prolifération de l’IoT et de l’OT et les nouveaux challenges inhérents à la responsabilité de leur sécurité

L’étude soutient une déconnexion claire entre les responsables IT et métiers. Elle met en évidence les problèmes potentiels de responsabilité liés à la sécurisation des dispositifs IoT/OT.

Qui est le principal responsable de la sécurisation des appareils IoT/OT sur un réseau d’entreprise ? 44% des responsables IT, contre 36 % des répondants métiers, déclarent qu’elle tient de la responsabilité de professionnels au sein des centres d’opérations de sécurité.

Les responsables métiers sont plus favorables à l’idée qu’un responsable informatique spécialisé métiers puisse en assurer la gestion. Voire un responsable métier directement. Alors que la plupart des entreprises ont tendance à conserver la gestion de la sécurité sous la responsabilité du service informatique, la collaboration entre les gestionnaires d’actifs, les équipes métiers et les équipes réseau, qui adoptent et déploient ces périphériques connectés, devient de plus en plus critique. Ce point est important pour établir une stratégie de sécurité IoT harmonieuse, d’autant plus lors de la gestion des configurations de sécurité par défaut et la visibilité correcte de tous les périphériques.

Relever les défis de sécurité inhérents à l’IoT/OT, savoir prendre les bonnes mesures pour progresser
Un ensemble de mesures émanant de la part de la Direction (usage d’outils de sécurité appropriés et réalisation d’audits) suffit à renforcer la confiance d’appareil sur le réseau.

En effet, pour 48 % des répondants l’amélioration de la prise en compte et de la visibilité des appareils IoT est LA priorité. Ainsi, 82 % des répondants s’attendent à ce que leurs dépenses IoT/OT augmentent au cours des deux prochaines années.

Cependant, pour plus de la moitié d’entre eux (55 %), l’intégration de nouvelles solutions de sécurité IoT avec les existants constitut le critère le plus important.

Méthodologie de l’étude

Cette étude, commanditée par ForeScout, a été réalisé par Forrester en aout 2017 auprès de 603 responsables informatiques et métiers impliqués dans les processus de sécurité réseau. Les participants ont été interrogés sur les défis liés à la sécurité de l’IoT. Sur leur niveau de conscience de la sécurité des dispositifs sur leur réseau. Des entreprises implantées aux États-Unis, au Royaume-Uni, en Allemagne, en France, en Australie et en Nouvelle-Zélande. Toutes comptant 2 500 employés ou plus, ont été interrogées pour cette étude.

Cybersécurité, IOT, Securite informatique

Future attaque ? Le petit frère de Miraim, Reaper, collecte ses objets connectés

Reaper, un nouveau botnet visant des objets connectés,  emmagasinerai des informations pour une future attaque.

Reaper, une menace plus grande que Mirai ? Voilà ce qu’annonce plusieurs sociétés de sécurité informatique concernant le botnet Reaper. Les chercheurs de Checkpoint se demandent si une attaque d’envergure ne serait pas en préparation.

Reaper partage des caractéristiques similaires à celles de Mirai, mais il peut « évoluer » afin d’exploiter les vulnérabilités des appareils connectés à Internet.

Il aurait déjà touché plus d’un million d’appareils dans le monde entier. Plusieurs experts estiment qu’il pourrait bientôt être armé pour lancer des cyber-attaques de la même manière que Mirai l’année dernière.

Laurent Pétroque, expert en attaque DDoS chez F5 Networks, indique d’ailleurs que « Le botnet Reaper est une évolution du botnet Mirai qui avait fait de nombreux dégâts, en faisant tomber le gestionnaire de noms de domaine DYN, ce qui avait eu pour conséquence de rendre indisponibles de nombreux grands sites internet.« 

Reaper se développerait depuis plus d’un mois, se propageant parmi de nombreux types d’appareils connectés.

Reaper et Mirai, des armes numériques !

La plus grande différence entre Reaper et Mirai ? Mirai essayait de se connecter aux appareils au travers de Telnet. Il utilisait les mots de passe trop faibles ou ceux utilisés par défaut pour prendre le contrôle des appareils. Bref, jouer avec les mots de passe usine !

Le botnet Reaper de son côté cherche à exploiter les vulnérabilités des appareils non patchés. Mission, en prendre le contrôle et de les ajouter à une plate-forme de commande et de contrôle. Cela signifie qu¹il peut continuer à croître et être utilisé pour toutes sortes d’activités criminelles. « Une simple mise à niveau du mot de passe n’est pas suffisante pour se protéger du botnet. Elle est tout de même fortement recommandée pour tous les appareils connectés à Internet. » confirme F5.

Il n’en reste pas moins que le botnet Reaper possède déjà de nombreux appareils sous son contrôle. Il peut encore être utilisé pour causer du tort. C’est pour cette raison que chacun doit se préparer au pire. Les motivations des cybercriminels ? Déclencher le chaos ? Obtenir un gain financier ou cibler un pays/organisation spécifique ?

On peut d’ailleurs se demander si les dernières attaques DDoS visant par exemple plusieurs importants hébergeurs Français, mais aussi la société de transport public Suédois n’étaient pas des tests grandeur nature.

De son côté, depuis fin septembre, Check Point a vu augmenter le nombre de tentatives pour exploiter une combinaison de vulnérabilités trouvées dans différents objets connectés. Des attaques profitant de caméras IP wireless comme : GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology.

Les tentatives de cyberattaques proviennent de différentes sources et d’une large variété d’objets connectés. Cela signifie que ce sont les objets connectés eux-mêmes qui ont répandu l’attaque.

Jusqu’à maintenant, Check Point estime que plus d’un million d’entreprises à travers le monde ont été infectées, et le chiffre ne fait qu’augmenter.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Securite informatique, VPN

Krack ou l’hypocrisie mondiale des maîtres du monde

L’annonce de la faille de sécurité baptisée Krack mettant en suspend toute la confiance du monde sur les réseaux Wifi domestiques et professionnels fait la une de la presse générale. Il s’agit de la fameuse clé WAP2, norme barbare améliorée du protocole de chiffrement Wifi WAP.

On découvre que plus aucun terminal connecté à un réseau Wifi n’est protégé, mieux on en devient tous vulnérable. Une partie de nos échanges chiffrés peuvent être captés par un tiers malveillant – comprenez un hacker – et que désormais, nous ne devrions plus utiliser nos Wifi. Il faut comprendre que si un hacker sait lire une “partie“ de vos fichiers, il sait en vérité tout lire. Il n’y pas de demie mesure sur ce point. Mais ne cédons pas à la panique d’autant que curieusement les agences de sécurité reconnaissent avoir identifié cette faille depuis des semaines et les éditeurs sont déjà en train de proposer des mises à jour de sécurité. Cela avant même la communication sur cette faille qui n’est finalement pas une trouvaille.

La bonne idée c’est que Mathy Vanhoef, chercheur à l’Université de Leuven en Belgique a trouvé un moyen de rejouer la faille par un programme automatisé. En clair, il est capable d’industrialiser l’attaque.

Mais nous savons, parce que c’est notre métier, que jamais aucun réseau Wifi n’est sécurisé. En 2008, les civils Martin Beck et Erik Tews avaient découvert une faille sur le format WAP. Né alors le WAP2 censé corriger l’algorithme du chiffrement, c’est de lui qu’il s’agit aujourd’hui.

L’avez-vous remarqué, je parle des chercheurs comme des civils ? En effet, il est salutaire de noter que sans ces femmes et ces hommes, notre résistance aux attaques cybernétique serait tout bonnement nulle. Et les États alors ? Et bien sachez que tous les États gardent pour eux les failles de sécurités qu’ils détectent par hasard ou non, et ceux pour tous les systèmes quels qu’ils soient. La raison est simple. Elle tend à renforcer les systèmes de défense et d’attaque du pays. L’atout et de savoir ce que l’autre ignore.

L’attaque de masse nommée Wannacry s’appuyait sur une faille Windows de Microsoft que la NSA avait gardé pour elle jusqu’à ce qu’un lanceur d’alerte la publie sur Wikileaks. Les mafias ou états étrangers n’avaient plus qu’à en prendre connaissance pour construire une attaque de masse. Comme quoi, avoir le savoir d’une attaque cybernétique d’ampleur vous met en situation temporaire de Maître du monde.

L’enjeu quand il n’est ni stratégique ni politique et simplement cupide. Et cette attaque extrêmement bien relayée par les médias pourrait changer l’internet de demain. La force du réseau internet est de laisser le maximum d’échange possible en clair. Si cette attaque invite tous les consommateurs d’internet à utiliser un VPN de trafic internet souverain, alors le Ad Marketing est mort entraînant dans sa chute Google en premier, les autres ensuite. Sans captation du trafic, le vôtre en l’occurrence, on ne peut pas savoir qui vous êtes, ce que vous faites et ce que vous consommez.

Criteo et consort disparaissent, Google ne sait plus positionner la pub au bon moment et sur la bonne page ! La rémunération disparaît alors. Fini Google, adieu Gmail, bye bye Facebook (tous gratuit), bref une nouvelle aire et un nouveau business model peut naître.

Peu probable car le consommateur est très attaché à ses habitudes et les changer est le dernier des efforts que l’homme apprécie faire, même si intrinsèquement c’est cette faculté qui lui a permis de construire l’internet et pas les ratons laveurs.

Qu’est-ce qu’un VPN de trafic souverain ? C’est une solution qui chiffre le trafic établi entre votre terminal et la borne Wifi ou 3G/4G et votre connexion à l’internet se fait depuis une adresse IP virtuelle dans un pays asservi par l’éditeur du logiciel. Les Finlandais sont les meilleurs pour cela d’autant que leur constitution politique est très attachée au secret de la vie privé. C’est ce qui rend la solution souveraine. On retrouve ces mêmes constitutions en Suisse, en Islande ou en Norvège. Les États-Unis comme Israël sont très rigides. Il suffit d’ailleurs de lire les Conditions Générale de Google pour comprendre combien vaut votre libre arbitre sur Internet. Avec un peu de recul vous comprendrez vite qu’il vaut une partie du revenu du GAFA.

Le Ad Marketing devra donc revoir le modèle si nous devenions tous consommateurs de ce chiffrement qui limite considérablement notre exposition face aux pirates. Seule l’histoire très prochaine nous donnera la tendance de cette attaque qui porte bien son nom. (par Frans Imbert-Vier PDG d’UBCOM pour DataSecurityBreach.fr)

Communiqué de presse, IOT, Securite informatique

Lutter contre les cyberattaques sur les véhicules

Mieux détecter et repousser les cyberattaques sur des véhicules individuels et des flottes entières : tel est le défi que relève la nouvelle solution Escrypt destinée aux constructeurs automobiles.

Selon les prévisions, d’ici 5 ans plus de 380 millions de véhicules seront connectés. Pionnier en matière de sécurité automobile, ESCRYPT met à profit sa longue expertise pour préparer les véhicules aux profondes transformations qui accompagnent le monde connecté.

L’ouverture des systèmes, la conduite automatisée… quels risques ?

Les systèmes de véhicule qui étaient jusqu’à présent fermés s’ouvrent désormais très rapidement au monde extérieur. Or les interfaces avec les smartphones et la possibilité d’une communication car-to-x font surgir de nouveaux risques à bord des véhicules. Un hacker peut par exemple prendre le contrôle de l’autoradio d’un véhicule et mettre soudain le volume à fond ou encore dérober des données personnelles contenues dans un smartphone connecté, sans parler des attaques menées contre les calculateurs pilotant le comportement du véhicule, ni des manipulations contraires à la loi au niveau du système d’entraînement.

Parallèlement, de plus en plus de responsabilités sont transférées du conducteur aux calculateurs et à leurs logiciels : la conduite automatisée devient une réalité.

Ce nouveau monde ultra connecté nécessite des stratégies sécuritaires globales dans lesquelles la sécurité fonctionnelle est indissociable de la sécurité automobile et ce, sur tout le cycle de vie des véhicules. Cela commence au lancement du développement, se poursuit en production avec une paramétrisation sécurisée des calculateurs, garantissant un fonctionnement sûr du véhicule à tout moment, et ne se termine qu’avec l’effacement des clés cryptographiques et l’invalidation de l’identité du véhicule avant la mise au rebut du véhicule.

IDPS : une approche globale de la sécurité

Disponible depuis 2017, la solution IDPS (Intrusion Detection and Prevention Solution) développée par Escrypt et proposée en France par Etas, permet de détecter, analyser et repousser les cyberattaques. IDPS documente les tentatives d’intrusion et peut transmettre automatiquement les données pour analyse à un système backend de cybersécurité. Des équipes d’experts y utilisent les données pour effectuer des analyses criminalistiques des incidents, afin de pouvoir définir et mettre en œuvre des contre-mesures adaptées (comme par exemple des mises à jour de sécurité transmises over-the-air).

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, ID, Identité numérique, IOT, Particuliers, RGPD, Securite informatique

Smart city et données personnelles : quels enjeux de politiques publiques et de vie privée ?

Le LINC (Laboratoire d’innovation numérique de la CNIL) publie son 5ème cahier Innovation et prospective intitulé : « La plateforme d’une ville – Les données personnelles au cœur de la fabrique de la smart city ».

Ce cahier « Smart City » explore les enjeux politiques et sociaux qui émergent autour de la place croissante des données dans la ville, au-delà de la seule conformité à la loi Informatique et Libertés ou au Règlement Général sur la Protection des Données (RGPD). Ce cahier entend également contribuer aux débats et questionnements en cours sur la smart city, à travers un prisme de lecture et un éclairage propres à la CNIL : l’accompagnement de l’innovation couplé à la protection des données et des libertés individuelles en contexte urbain. Il s’adresse à tous les acteurs qui gravitent autour de ces questions, et notamment aux collectivités locales, qui font face à de nouvelles problématiques.

Il souligne les conséquences de la massification des données sur les politiques publiques urbaines et en particulier sur les équilibres dans les rapports public / privé. Il propose de remettre en perspective la ville au prisme de l’économie des plateformes, et des équilibres de force entre acteurs publics, acteurs privés et citoyens. Après une première partie décrivant les limites de l’expression « smart city », la mise en données de la ville numérique est abordée selon trois angles :

Quand les modèles économiques des plateformes transforment la ville : ou comment l’arrivée des grands acteurs du numérique dans les services urbains (Sidewalk CityLab, Waze Connected Citizen de Alphabet/Google, Uber ou Facebook) pose la question des contreparties réelles demandées aux individus et aux acteurs publics pour des services présentés comme gratuits.

La ville liquide : à qui profitent les flux ? : ou comment la promesse de la ville fluide pose la question de la liberté et des droits des individus qui parfois réduits à une somme d’éléments à optimiser et de problèmes à résoudre par la technologie.

Vers un mode « navigation privée » dans l’espace public ? : ou comment les impératifs de sécurité et la généralisation des dispositifs de captation mettent à mal l’anonymat, pourtant constitutif de la ville.

Dans une dernière partie, quatre scénarios prospectifs de régulation permettant d’engager un rééquilibrage privé/public par les données sont explorés. Ils sont mis en perspective pour répondre aux questions suivantes :

Comment organiser un retour vers l’acteur public de données produites par l’entremise des individus dans le cadre de services portés par des acteurs privés ?
Comment permettre à ces acteurs publics de réutiliser ces données à forte valeur ajoutée pour des finalités d’intérêt général, dans le respect des droits des entreprises en question, ainsi que des droits et libertés des personnes concernées ?

Ces quatre scénarios, présentés dans une matrice à quatre entrées comme autant de leviers actionnables, envisagent notamment des configurations privilégiant le recours à :

un « open data privé obligatoire » ;
des « données d’intérêt général augmentées » ;
des solutions de « plateformes d’accès aux données »,
la « portabilité citoyenne » ;

Sans privilégier l’un ou l’autre de ces scénarios, qui ne sont pas exclusifs, il s’agit de présenter l’économie générale de chacun, de souligner leurs potentialités et de mettre en lumière les enjeux qu’ils soulèvent pour la protection des données personnelles des citoyens.

Ce cahier IP est distribué avec son tiré à part, « Voyage au centre de la ville de demain », qui expose trois scénarios à horizon 2026 conçus dans le cadre d’ateliers de design fiction, organisés et animés par LINC en partenariat avec Five by Five (agence d’innovation) et Usbek & Rica (magazine d’exploration du futur).