Archives par mot-clé : iot

backdoor, Cybersécurité, IOT, Securite informatique

IoT : quand les objets connectés deviennent des menaces de sécurité

Un commentaire

Les fêtes de Noël, et maintenant les soldes représentent la période propice pour l’achat d’appareils connectés iot. Maintenant, même les jouets pour les enfants sont des bijoux de technologie intelligents, télécommandés et équipés de caméras vidéo et même de haut-parleurs intégrés. Si ces jouets sont très populaires auprès des dernières générations de consommateurs, ils peuvent également s’avérer dangereux. En effet, certains objets connectés peuvent parfois échapper au contrôle de leurs propriétaires et devenir des portes faciles d’accès pour les intrus. Dans ces cas-là les options vidéos et haut-parleurs deviennent indésirables et nuisent à la sécurité des enfants.

Les objets intelligents connectés (IoT) sont aujourd’hui très attrayants et ont pour vocation de faciliter le quotidien. Mais dans quelle mesure leur utilisation est-elle sans danger du point de vue de la cybersécurité ? En 2015, les chercheurs de Kaspersky Lab ont décidé de se pencher sur le niveau de menace que présente l’Internet des objets (IoT). Les résultats étaient préoccupants, c’est pourquoi, 2 ans plus tard, ils ont approfondi leurs recherches dans ce domaine. Sur 8 objets IoT pris au hasard (allant d’un fer à repasser intelligent à un véhicule-espion miniature), la moitié d’entre eux étaient piratables en raison de la faiblesse de leur mot de passe. En outre, un seul des objets a répondu aux exigences des chercheurs en matière de sécurité.

Un vaste réseau d’objets connectés, attrayant pour les cybercriminels.

Les objets connectés orbitent en réseau et intègrent une technologie qui leur permet d’interagir les uns avec les autres ou avec leur environnement extérieur. Du fait du grand nombre et de la variété d’objets connectés disponibles, l’IoT est devenu une cible tentante pour les cybercriminels. C’est ce qui explique, entre autres, les attaques DDoS record lancées en 2016 avec l’aide de botnets massifs constitués de routeurs, de caméras IP, d’imprimantes et d’autres appareils transformés en « zombies ». En piratant ces objets IoT, des criminels peuvent exercer un chantage ou espionner les utilisateurs. D’autres vecteurs peuvent être encore plus dangereux. Par exemple, les équipements du réseau domestique pourraient servir à des activités illicites ou bien un cybercriminel ayant accès à un objet IoT pourrait faire chanter – et espionner – son propriétaire pour lui extorquer de l’argent. Moins grave, mais toujours ennuyeux, l’appareil infecté peut aussi être mis simplement hors service.

Un niveau de sécurité beaucoup trop faible, malgré les menaces omniprésentes.

Alors que de nombreuses études ont été réalisées à la suite des incidents déplorés ces dernières années, on pourrait s’attendre à un changement notoire en matière de sécurité des objets IoT. Pour autant, Kaspersky déplore encore un manque de sécurité inquiétant, notamment au niveau des mots de passe. Pour en arriver à ces conclusions, les chercheurs ont de nouveau analysé plusieurs objets intelligents choisis de manière aléatoire, en l’occurrence un chargeur, une voiture miniature commandée par une application, un tuner, une balance, un aspirateur, un fer à repasser, une caméra et une montre. Les résultats sont véritablement inquiétants : sur les 8 objets examinés, un seul était satisfaisant en termes de sécurité.

Qui plus est, la moitié des objets pourraient être piratés et leurs vulnérabilités exploitées à cause d’un défaut de vigilance du fabricant dans la définition des mots de passe. Il s’agit en particulier de l’impossibilité de modifier le mot de passe par défaut alors même que, dans certains cas, celui-ci est identique pour tous les produits d’une gamme.

Quelques conseils d’experts pour éviter les risques

DataSecurityBreach.fr vous conseille de prendre les précautions suivantes afin de se prémunir contre l’achat d’objets intelligents vulnérables :

  1. Avant d’acheter un objet IoT, recherchez sur Internet la mention d’éventuelles vulnérabilités. L’Internet des objets est aujourd’hui un sujet brûlant et de nombreux chercheurs font un excellent travail pour découvrir des failles de sécurité dans les produits de ce type, depuis les écoute-bébés jusqu’aux armes gérées par une application. Il est probable que l’objet de convoitise ait déjà été examiné par des chercheurs en sécurité et il est souvent possible de vérifier si les problèmes découverts ont été corrigés ou pas.
  2. Ce n’est pas toujours une bonne idée d’acheter les produits les plus récents dès leur lancement sur le marché. En dehors des bugs habituels affectant les nouveaux produits, ces derniers sont plus susceptibles de receler des failles de sécurité encore inconnues des chercheurs en sécurité. Il est donc préférable de choisir des produits ayant déjà connu plusieurs mises à jour de leur logiciel.
  3. Avant de décider de rendre un aspect de sa vie un peu plus intelligent, tenir compte des risques pour la sécurité. Si on conserve de nombreux objets de valeur à votre domicile, il est sans doute judicieux d’installer un système d’alarme professionnel en remplacement ou en complément de son modèle existant commandé par une application ou bien de configurer ce dernier de sorte qu’aucune vulnérabilité éventuelle n’affecte son fonctionnement.
backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, DDoS, IOT, Piratage, ransomware, Securite informatique

Des sites Internet piratés via l’Internet des objets

Du piratage de site web via des objets connectés. La France est le 21ème pays le plus touché avec 298 hôtes enregistrés dans les 30 derniers jours.

Même si le chiffre ne semble pas énorme, les attaques repérées montre une évolution dans ce type de cyberattaque via des objets connectés. Doctor Web alerte à nouveau sur l’activité du Trojan Linux.ProxyM infectant des terminaux intelligents fonctionnant sous Linux, tels que des caméras de vidéosurveillance et des enregistreurs DVR de vidéosurveillance.

En septembre 2017, les pirates l’ont utilisé pour envoyer du spam, et plus récemment, ils utilisent ses capacités pour pirater des sites web. Selon l’entreprise, la France serait le 21ème pays le plus touché avec 298 hôtes enregistrés au cours des 30 derniers jours.

Objets connectés

Linux.ProxyM est un logiciel malveillant qui lance sur un appareil contaminé un serveur proxy SOCKS. C’est en utilisant ce proxy que les criminels peuvent agir de manière anonyme. Il existe des builds de ce Trojan pour les architectures x86, MIPS, MIPSEL, PowerPC, Superh, ARM, Motorola 68000 et SPARC. En d’autres termes, Linux.ProxyM peut contaminer n’importe quel appareil sous Linux, y compris les routeurs, boîtiers décodeurs, des caméras de surveillance, des enregistreurs DVR, et autres équipements.

Au mois de septembre, les analystes ont découvert que les malfaiteurs envoyaient plus de 400 messages spam par jour depuis chaque dispositif contaminé en utilisant Linux.ProxyM. Leurs messages contenaient des publicités pour des sites pour adultes et des services financiers douteux. Par la suite, les cybercriminels ont commencé à utiliser l’Internet des objets pour la propagation de messages de phishing. Ces messages étaient envoyés au nom de DocuSign, le service permettant de télécharger, consulter, signer et suivre le statut des documents électroniques.

backdoor, Chiffrement, cryptage, Cybersécurité, IOT, Securite informatique

Une faille de sécurité dans la gamme Smart Home de LG

Découverte d’une vulnérabilité baptisée HomeHack dans les appareils intelligents LG SmartThinQ. Des objets connectés pour la maison qui peuvent être contrôlé, à distance, par des personnes non autorisées.

Les vulnérabilités de l’application mobile et du Cloud LG SmartThinkQ ont permis à l’équipe de recherche de Check Point de se connecter à distance à l’application dans le Cloud SmartThinQ, de prendre le contrôle du compte LG légitime de l’utilisateur, et de prendre le contrôle de l’aspirateur et de sa caméra intégrée. Une fois le compte LG d’un utilisateur spécifique piraté, tout appareil LG associé à ce compte pourrait être contrôlé par le pirate, y compris les robots aspirateurs, les réfrigérateurs, les fours, les lave-vaisselle, les machines à laver et les climatiseurs.

La vulnérabilité HomeHack fourni aux hackers la possibilité d’espionner les activités personnelles des utilisateurs via la caméra vidéo du robot aspirateur Hom-Bot, qui envoie une vidéo en direct à l’application LG SmartThinQ associée, dans le cadre de sa fonction HomeGuard Security. Selon les appareils LG présent au domicile de leur propriétaire, les pirates pourraient également éteindre ou mettre en marche les machines à laver la vaisselle ou le linge.

« À mesure qu’un nombre croissant d’appareils intelligents sont utilisés à domicile, les pirates cesseront de cibler des appareils individuels pour pirater les applications contrôlant des réseaux d’appareils. Les cybercriminels auront ainsi encore plus d’opportunités d’exploiter les failles des logiciels, de perturber le domicile des utilisateurs et d’accéder à leurs données confidentielles, » déclare Oded Vanunu, head of products vulnerability research chez Check Point. « Les utilisateurs doivent prendre conscience des risques liés à la sécurité et la confidentialité lorsqu’ils utilisent leurs objets connectés, et il est essentiel que les fabricants se concentrent sur la protection des appareils intelligents contre les attaques, en mettant en place une sécurité robuste lors de la conception des logiciels et des appareils. »

Les vulnérabilités de l’application mobile SmartThinQ ont permis aux chercheurs de Check Point de créer un faux compte LG, puis de l’utiliser pour prendre le contrôle du compte LG légitime d’un utilisateur, et contrôler à distance ses appareils LG intelligents. Check Point a communiqué la vulnérabilité à LG le 31 juillet 2017, conformément à sa politique de communication responsable. LG a corrigé les problèmes signalés dans l’application SmartThinQ fin septembre. « Heureusement, LG a fourni un correctif de qualité pour empêcher l’exploitation des vulnérabilités dans son application et ses appareils SmartThinQ, » ajoute Oded Vanunu.

Correction et communication

« Dans le cadre de la mission de LG Electronics d’améliorer la vie des consommateurs dans le monde entier, nous élargissons notre gamme d’appareils ménagers intelligents de nouvelle génération, tout en privilégiant le développement de logiciels sûrs et fiables, » déclare Koonseok Lee, Manager of Smart Development Team, Smart Solution BD, chez LG Electronics. « En août, LG Electronics a fait équipe avec Check Point Software Technologies pour lancer un processus avancé de détection des problèmes de sécurité, et a immédiatement commencé à corriger les programmes. Le 29 septembre, le système de sécurité utilisait la version mise à jour 1.9.20 sans aucun problème. LG Electronics prévoit de continuer à renforcer ses systèmes de sécurité logicielle, et travailler avec des fournisseurs de solutions de cybersécurité tels que Check Point pour protéger les objets connectés et les rendre encore plus pratiques. »

Pour protéger leurs appareils, les utilisateurs de l’application mobile et des appareils LG SmartThinQ doivent s’assurer de disposer des toutes dernières versions logicielles sur le site web de LG. Check Point conseille également aux consommateurs de prendre les mesures suivantes pour protéger leurs appareils intelligents et leurs réseaux Wifi personnels contre les intrusions et la prise de contrôle à distance.

Mise à jour

Mettre à jour l’application LG SmartThinQ vers la dernière version (V1.9.23). Vous pouvez effectuer la mise à jour de l’application via Google Play Store, Apple App Store ou via les paramètres de l’application LG SmartThinQ. Mettre à jour les appareils physiques vers la dernière version. Vous pouvez le faire en cliquant sur le produit dans le tableau de bord de l’application smartThinQ (un message contextuel vous prévient si une mise à jour est disponible)

La gamme d’appareils intelligents et de solutions de sécurité SmartThinQ de LG permet aux utilisateurs de surveiller et de gérer leur domicile depuis un smartphone. Les ventes du robot aspirateur Hom-Bot ont dépassé 400 000 unités durant la première moitié de 2016. En 2016, 80 millions d’appareils intelligents pour la maison ont été expédiés dans le monde entier, soit une augmentation de 64 % par rapport à 2015.

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, IOT, Particuliers, Securite informatique, Vie privée

Les Français plébiscitent les objets connectés sans en mesurer les risques !

A l’occasion de Noël, les objets connectés semblent être le cadeau de cette fin d’année : tendance d’achat, appréhension de la sécurité, prise de mesure, etc. L’étude « Most Hackable Gifts » dévoile la liste des cadeaux de Noël les plus prisés à la fois par les consommateurs, mais aussi par les cybercriminels.

Objets connectés, Noël et les pirates. Ainsi, parmi les cadeaux les plus attendus au pied du sapin figurent les indétrônables tablettes et smartphones (60 %) et autres ordinateurs portables (30 %). Les accessoires domotique de l’habitat connecté (25%) sont également très populaires cette année, aux côtés des jouets connectés (22 %), des casques de réalité virtuelle (19 %) et des Smart TV (17 %).

Une méconnaissance des risques associés aux objets connectés

Une grande majorité de consommateurs Français reconnait la nécessité de sécuriser ordinateurs portables, tablettes et smartphones (64 %). Mais moins 1/3 estiment que les casques réalité virtuelle, les jouets et autres accessoires connectés doivent être sécurisés.

Il faut rappeler qu’ils gèrent également un certain volume d’informations personnelles. 15 % pensent même que les objets connectés n’ont pas besoin d’être sécurisés.

« A Noël, les objets connectés seront cette année encore à l’honneur. Or, on constate que les consommateurs ne mesurent pas tous l’importance de la protection de ces appareils et du risque auquel ils s’exposent lors d’une connexion avec un device non connecté« , précise Lam Son Nguyen expert en sécurité – McAfee.

91 % estime qu’il est important/voir très important que leur identité en ligne et leurs appareils connectés soient sécurisés. La moitié des consommateurs prennent des mesures pour s’assurer que leur nouvel appareil connecté est protégé avant utilisation. 23% ne sont d’ailleurs pas sûrs de savoir prendre les mesures adaptées en matière de sécurité. Les consommateurs sont tout simplement mal informés sur les dangers et la manière dont il faut protéger ces appareils connectés.

Peu conscients des risques ils ne mettent pas en œuvre les mesures nécessaires pour se protéger ce que les cybercriminels pourraient exploiter pour le piratage de leurs objets et le vol de leurs données personnelles.

Ces informations révèlent l’importance pour les consommateurs d’être vigilants quant aux enjeux de sécurité inhérents aux objets connectés qu’ils déposeront au pied du sapin de Noël. Il est important que chacun mesure les risques liés à tout objet connecté et cesse de penser qu’il suffit simplement de s’en remettre aux mesures des fabricants pour éviter le vol de leurs données dans le temps. Il serait bon, aussi, que les fabricants fournissent des informations sur la sécurisation générale, ainsi que de leur produit. L’éducation devrait être imposée dans chaque notice, en plus des obligations légales copiées à longueur de page de certaines notices.

Quelques réflexes simples à adopter en matière de sécurité des objets connectés

D’abord, lisez la notice. Vous pourriez y trouver quelques réponses (mot de passe, …). Ensuite, protéger votre réseau domestique. Plus facile à dire, qu’à faire, mais loin d’être impossible si vous vous y penchez un peu. DataSecurityBreach vous propose par exemple de regarder du côté des adresses MAC de vos materiels et votre box, ou encore du côté de la double authentification. Mettre à jour les logiciels et applications des objets connectés. Voyez si elles peuvent être automatisées. Sécuriser votre appareil avec une solution dédiée : antivirus, firewall, … Privilégiez une connexion Wi-Fi sécurisée. Celle de la maison, mais avec un bonus qu’est le contrôle par l’adresse MAC. Protéger vos objets avec des mots de passe complexes. Même si cela n’est pas gage d’efficacité optimale, un mot de passe fort (lettres, majuscules, chiffres et signes de ponctuations) permet de retarder le malveillant qui ira voir ailleurs. Et au moindre doute, agissez !

Chiffrement, Communiqué de presse, Cybersécurité, IOT

La sécurité de l’IoT et de l’OT est une véritable bombe à retardement pour les entreprises

Les décideurs métiers et IT sont anxieux par rapport à la sécurité de l’IoT, notamment en raison des dommages possibles liés à une faille de sécurité.

ForeScout Technologies, Inc., spécialiste de la sécurité de l’Internet of Things (l’IoT), dévoile les résultats de sa dernière étude portant sur l’impact de l’IoT et des technologies opérationnelles (Operation Technology – OT) sur les entreprises. Elle se penche notamment sur les dilemmes de cybersécurité, inhérents à l’IoT et à l’OT, causés au sein des équipes de sécurité et métiers.

L’étude, conduite par le cabinet d’analystes indépendant Forrester Consulting, révèle que ces mêmes équipes sont soumises à de fortes pressions en matière de sécurité de l’IoT et des technologies opérationnelles. Ce stress est notamment dû aux répercussions négatives qu’une faille de sécurité pourrait avoir sur le business de l’entreprise. De plus, la majorité des entreprises (82 %) peinent à identifier l’ensemble des objets connectés à leur réseau. Quant à la désignation d’un responsable de la sécurité de l’IoT, les décideurs IT comme métiers ne peuvent s’accorder sur une réponse précise.

« Les résultats de cette enquête démontrent un changement dynamique dans la manière dont les entreprises abordent la sécurité et les risques liés à l’IoT. Chaque nouvel appareil connecté représente un vecteur supplémentaire d’attaque. Il suffit d’un seul périphérique pour compromettre un réseau entier et perturber les activités de l’entreprise », explique Michael DeCesare, Président et CEO de ForeScout. « La sécurisation de l’IoT n’est pas seulement un enjeu de cybersécurité mais un également un enjeu business. Une personne malveillante exploitera le maillon le plus faible, qui opéré à un niveau de risque même minime, représente déjà un danger. Pour se prémunir, les entreprises ont donc besoin d’une visibilité complète. »

D’après les résultats de l’étude, 77 % des entreprises interrogées reconnaissent que l’utilisation accrue des appareils connectés génère d’importants challenges en matière de sécurité. De plus, 76 % des responsables interrogés ont déclaré que leurs doutes quant à l’IoT les obligeaient à repenser leurs stratégies de sécurité informatique.

Selon Forrester Research, « l’IoT et l’OT apportent des avantages significatifs aux entreprises à travers le monde. Elles vont dans la bonne direction en ce qui concerne les investissements en matière de sécurité de l’IoT. Nous entendons davantage sensibiliser aux défis et aux best pratices à mener en la matière. Car les conclusions de l’enquête révèlent qu’il faut renforcer les actions autour de la sécurité l’IoT. »

Selon l’étude de Forrester Consulting, « Fail to plan, plan to fail », les entreprises voient déjà les avantages d’une nouvelle connexion de périphériques. Mission améliorer les processus/fonctions métier.

Les progrès technologiques ont donné lieu à un déluge de nouveaux types de dispositifs connectés. Des IoT qui, à leur tour, introduisent de nouvelles menaces de sécurité.

Les entreprises sont mal équipées pour les combattre et les reconnaître.

Avec un financement accru et une nouvelle stratégie de sécurité axée sur la visibilité et la conformité, les entreprises peuvent commencer à faire des progrès. In fine, elles réduiront leur anxiété au sujet de l’IoT et regagneront confiance en leur réseau.

L’angoisse autour de la sécurité IoT paralyse l’entreprise

L’IoT engendre un nouveau niveau de complexité et un potentiel impact négatif sur les activités de l’entreprise en cas de défaillance de la sécurité. Plus de la moitié des répondants (54 %) reconnaissent que la sécurité de l’IoT les rend anxieux. Les responsables métiers le sont notamment plus (58 %) que leurs homologues de l’informatique (51 %). En effet, ils comprennent l’ampleur qu’une violation peut avoir sur le fonctionnement de l’entreprise. De plus, ils n’ont parfois pas l’assurance que leurs dispositifs soient totalement sécurisés. Sans compter que ce sentiment de détresse est dû aux coûts supplémentaires et au temps nécessaire pour gérer ces dispositifs, ainsi qu’au manque de compétences en matière de sécurité.

Les obstacles et les complications de la conformité mènent au risque

Pour près de la moitié des informaticiens (45 %) les contraintes budgétaires constituent le principal obstacle à davantage d’investissements dans le domaine de la sécurité IoT. Le scepticisme de la Direction entre également en ligne de compte. Or, sans investissement supplémentaire, 40 % des professionnels de la sécurité continuent de s’appuyer sur une approche de sécurité traditionnelle pour protéger l’IoT et l’OT. Cette stratégie empêche les entreprises de détecter tous les périphériques connectés au réseau. In fine, cela ouvre la porte à un plus grand risque de sécurité ainsi qu’à des complications potentielles de conformité. D’autant plus que 82 % des entreprises reconnaissent ne pas être en mesure d’identifier l’intégralité des appareils connectés à leur réseau, courant ainsi un véritable risque. De plus, 59 % s’avouent même prêtes à tolérer un niveau de risque moyen voir élevé par rapport aux exigences de conformité de la sécurité de l’IoT. Une telle approche est préoccupante quand 90 % des entreprises s’attendent à voir le volume d’appareils connectés augmenter au cours des prochaines années.

Prolifération de l’IoT et de l’OT et les nouveaux challenges inhérents à la responsabilité de leur sécurité

L’étude soutient une déconnexion claire entre les responsables IT et métiers. Elle met en évidence les problèmes potentiels de responsabilité liés à la sécurisation des dispositifs IoT/OT.

Qui est le principal responsable de la sécurisation des appareils IoT/OT sur un réseau d’entreprise ? 44% des responsables IT, contre 36 % des répondants métiers, déclarent qu’elle tient de la responsabilité de professionnels au sein des centres d’opérations de sécurité.

Les responsables métiers sont plus favorables à l’idée qu’un responsable informatique spécialisé métiers puisse en assurer la gestion. Voire un responsable métier directement. Alors que la plupart des entreprises ont tendance à conserver la gestion de la sécurité sous la responsabilité du service informatique, la collaboration entre les gestionnaires d’actifs, les équipes métiers et les équipes réseau, qui adoptent et déploient ces périphériques connectés, devient de plus en plus critique. Ce point est important pour établir une stratégie de sécurité IoT harmonieuse, d’autant plus lors de la gestion des configurations de sécurité par défaut et la visibilité correcte de tous les périphériques.

Relever les défis de sécurité inhérents à l’IoT/OT, savoir prendre les bonnes mesures pour progresser
Un ensemble de mesures émanant de la part de la Direction (usage d’outils de sécurité appropriés et réalisation d’audits) suffit à renforcer la confiance d’appareil sur le réseau.

En effet, pour 48 % des répondants l’amélioration de la prise en compte et de la visibilité des appareils IoT est LA priorité. Ainsi, 82 % des répondants s’attendent à ce que leurs dépenses IoT/OT augmentent au cours des deux prochaines années.

Cependant, pour plus de la moitié d’entre eux (55 %), l’intégration de nouvelles solutions de sécurité IoT avec les existants constitut le critère le plus important.

Méthodologie de l’étude

Cette étude, commanditée par ForeScout, a été réalisé par Forrester en aout 2017 auprès de 603 responsables informatiques et métiers impliqués dans les processus de sécurité réseau. Les participants ont été interrogés sur les défis liés à la sécurité de l’IoT. Sur leur niveau de conscience de la sécurité des dispositifs sur leur réseau. Des entreprises implantées aux États-Unis, au Royaume-Uni, en Allemagne, en France, en Australie et en Nouvelle-Zélande. Toutes comptant 2 500 employés ou plus, ont été interrogées pour cette étude.

Cybersécurité, IOT, Securite informatique

Future attaque ? Le petit frère de Miraim, Reaper, collecte ses objets connectés

Reaper, un nouveau botnet visant des objets connectés,  emmagasinerai des informations pour une future attaque.

Reaper, une menace plus grande que Mirai ? Voilà ce qu’annonce plusieurs sociétés de sécurité informatique concernant le botnet Reaper. Les chercheurs de Checkpoint se demandent si une attaque d’envergure ne serait pas en préparation.

Reaper partage des caractéristiques similaires à celles de Mirai, mais il peut « évoluer » afin d’exploiter les vulnérabilités des appareils connectés à Internet.

Il aurait déjà touché plus d’un million d’appareils dans le monde entier. Plusieurs experts estiment qu’il pourrait bientôt être armé pour lancer des cyber-attaques de la même manière que Mirai l’année dernière.

Laurent Pétroque, expert en attaque DDoS chez F5 Networks, indique d’ailleurs que « Le botnet Reaper est une évolution du botnet Mirai qui avait fait de nombreux dégâts, en faisant tomber le gestionnaire de noms de domaine DYN, ce qui avait eu pour conséquence de rendre indisponibles de nombreux grands sites internet.« 

Reaper se développerait depuis plus d’un mois, se propageant parmi de nombreux types d’appareils connectés.

Reaper et Mirai, des armes numériques !

La plus grande différence entre Reaper et Mirai ? Mirai essayait de se connecter aux appareils au travers de Telnet. Il utilisait les mots de passe trop faibles ou ceux utilisés par défaut pour prendre le contrôle des appareils. Bref, jouer avec les mots de passe usine !

Le botnet Reaper de son côté cherche à exploiter les vulnérabilités des appareils non patchés. Mission, en prendre le contrôle et de les ajouter à une plate-forme de commande et de contrôle. Cela signifie qu¹il peut continuer à croître et être utilisé pour toutes sortes d’activités criminelles. « Une simple mise à niveau du mot de passe n’est pas suffisante pour se protéger du botnet. Elle est tout de même fortement recommandée pour tous les appareils connectés à Internet. » confirme F5.

Il n’en reste pas moins que le botnet Reaper possède déjà de nombreux appareils sous son contrôle. Il peut encore être utilisé pour causer du tort. C’est pour cette raison que chacun doit se préparer au pire. Les motivations des cybercriminels ? Déclencher le chaos ? Obtenir un gain financier ou cibler un pays/organisation spécifique ?

On peut d’ailleurs se demander si les dernières attaques DDoS visant par exemple plusieurs importants hébergeurs Français, mais aussi la société de transport public Suédois n’étaient pas des tests grandeur nature.

De son côté, depuis fin septembre, Check Point a vu augmenter le nombre de tentatives pour exploiter une combinaison de vulnérabilités trouvées dans différents objets connectés. Des attaques profitant de caméras IP wireless comme : GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology.

Les tentatives de cyberattaques proviennent de différentes sources et d’une large variété d’objets connectés. Cela signifie que ce sont les objets connectés eux-mêmes qui ont répandu l’attaque.

Jusqu’à maintenant, Check Point estime que plus d’un million d’entreprises à travers le monde ont été infectées, et le chiffre ne fait qu’augmenter.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, ID, Identité numérique, IOT, Particuliers, RGPD, Securite informatique

Smart city et données personnelles : quels enjeux de politiques publiques et de vie privée ?

Le LINC (Laboratoire d’innovation numérique de la CNIL) publie son 5ème cahier Innovation et prospective intitulé : « La plateforme d’une ville – Les données personnelles au cœur de la fabrique de la smart city ».

Ce cahier « Smart City » explore les enjeux politiques et sociaux qui émergent autour de la place croissante des données dans la ville, au-delà de la seule conformité à la loi Informatique et Libertés ou au Règlement Général sur la Protection des Données (RGPD). Ce cahier entend également contribuer aux débats et questionnements en cours sur la smart city, à travers un prisme de lecture et un éclairage propres à la CNIL : l’accompagnement de l’innovation couplé à la protection des données et des libertés individuelles en contexte urbain. Il s’adresse à tous les acteurs qui gravitent autour de ces questions, et notamment aux collectivités locales, qui font face à de nouvelles problématiques.

Il souligne les conséquences de la massification des données sur les politiques publiques urbaines et en particulier sur les équilibres dans les rapports public / privé. Il propose de remettre en perspective la ville au prisme de l’économie des plateformes, et des équilibres de force entre acteurs publics, acteurs privés et citoyens. Après une première partie décrivant les limites de l’expression « smart city », la mise en données de la ville numérique est abordée selon trois angles :

Quand les modèles économiques des plateformes transforment la ville : ou comment l’arrivée des grands acteurs du numérique dans les services urbains (Sidewalk CityLab, Waze Connected Citizen de Alphabet/Google, Uber ou Facebook) pose la question des contreparties réelles demandées aux individus et aux acteurs publics pour des services présentés comme gratuits.

La ville liquide : à qui profitent les flux ? : ou comment la promesse de la ville fluide pose la question de la liberté et des droits des individus qui parfois réduits à une somme d’éléments à optimiser et de problèmes à résoudre par la technologie.

Vers un mode « navigation privée » dans l’espace public ? : ou comment les impératifs de sécurité et la généralisation des dispositifs de captation mettent à mal l’anonymat, pourtant constitutif de la ville.

Dans une dernière partie, quatre scénarios prospectifs de régulation permettant d’engager un rééquilibrage privé/public par les données sont explorés. Ils sont mis en perspective pour répondre aux questions suivantes :

Comment organiser un retour vers l’acteur public de données produites par l’entremise des individus dans le cadre de services portés par des acteurs privés ?
Comment permettre à ces acteurs publics de réutiliser ces données à forte valeur ajoutée pour des finalités d’intérêt général, dans le respect des droits des entreprises en question, ainsi que des droits et libertés des personnes concernées ?

Ces quatre scénarios, présentés dans une matrice à quatre entrées comme autant de leviers actionnables, envisagent notamment des configurations privilégiant le recours à :

un « open data privé obligatoire » ;
des « données d’intérêt général augmentées » ;
des solutions de « plateformes d’accès aux données »,
la « portabilité citoyenne » ;

Sans privilégier l’un ou l’autre de ces scénarios, qui ne sont pas exclusifs, il s’agit de présenter l’économie générale de chacun, de souligner leurs potentialités et de mettre en lumière les enjeux qu’ils soulèvent pour la protection des données personnelles des citoyens.

Ce cahier IP est distribué avec son tiré à part, « Voyage au centre de la ville de demain », qui expose trois scénarios à horizon 2026 conçus dans le cadre d’ateliers de design fiction, organisés et animés par LINC en partenariat avec Five by Five (agence d’innovation) et Usbek & Rica (magazine d’exploration du futur).

Android, Cyber-attaque, Cybersécurité, ios, IOT, Mise à jour, Patch, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Windows phone

Faille BlueBorne : quand le danger est dans la poche

Faille BlueBorne – Suite à la découverte par le spécialiste de la sécurité Armis d’un vecteur d’attaque et de 8 vulnérabilités zero-day qui touchent quasiment l’ensemble des appareils connectés, retour sur la vulnérabilité BlueBorne.

La faille BlueBorne, vous en avez très certainement entendu parler. Elle vise le Bluetooth, ce moyen de connexion sans fil qui s’affiche dans nos smartphones, TV et autres objets connectés. Les vulnérabilités peuvent permettre, par exemple, de forcer l’exécution d’une action pirate ou encore d’intercepter les informations qui transitent entre l’appareil et l’extérieur. La société Armis pense que plus de 5 milliards d’appareils peuvent être concernés. L’attaque, qui touchent iOS, Android et Linux, doit s’orchestrer dans la zone de diffusion du Bluetooth, pas de possibilité d’une infiltration à plus longue distance.

Christophe Badot, directeur général France de Varonis revient sur ce problème de taille XXL. « L’attaque BlueBorne est préoccupante non pas en raison de sa nature, mais parce qu’elle affecte un grand nombre des terminaux qui nous accompagnent désormais au quotidien. Et nombre de ces appareils resteront vulnérables dans les années à venir. Certaines personnes ont déjà des difficultés à mettre à jour leurs ordinateurs (système d’exploitation, logiciels, etc.), alors si on ajoute une douzaine de périphériques IoT dans l’équation, on réalise assez vite qu’il sera presque impossible de garantir que chaque produit et système reçoive son correctif. On peut même affirmer que certains de ces appareils ne se verront pas proposer de correctifs du tout. » Voilà qui n’est pas rassurant !

Si BlueBorne concerne les smartphones et ordinateurs Android, IoS, Windows, Linux et les appareils qui utilisent ces systèmes, cette vulnérabilité pointe vers un problème beaucoup plus important et beaucoup plus difficile à résoudre, qui est la manière avec laquelle les mises à jour et les correctifs de système d’exploitation sont distribués aux périphériques IoT. Cette vulnérabilité est un nouvel avertissement concernant la sécurité des appareils IoT. Il appartient désormais aux fabricants de faire attention et de bien prendre en compte la sécurité et les mises à jour de leurs produits avant plutôt que de les commercialiser rapidement pour profiter de l’engouement du grand public pour ces objets.

« Les cybercriminels continueront à développer rapidement des exploits pour pirater les appareils IoT afin de nous espionner, de voler nos informations, d’utiliser ces appareils pour des attaques (DDoS), voire même pour mettre notre vie en danger. Etant donné que nous sommes de plus en plus dépendants de nos terminaux mobiles, et que le monde devient de plus en plus automatisé, des attaques comme BlueBorne qui frappent spécifiquement des puces et des composants deviennent beaucoup plus dangereuses. »

Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, IOT, Piratage, Securite informatique

IoT et sécurité : un couple encore maudit

Les objets connectés IoT sont de plus en plus utilisés par les cybercriminels pour former des réseaux de botnet. Il n’y a pas de segmentation des cibles : les IoT (Internet of Things – Internet des Objets) des particuliers sont autant ciblés que ceux des professionnels.

Une fois que l’objet connecté est piraté, il agit comme un zombie et dépend des commandes reçues par l’attaquant. Les cyberattaques basées sur des armées d’IoT piratées peuvent ainsi se multiplier et perpétrer des vols de données de santé ou d’informations personnelles.

Cas pratiques : exemples d’attaques ciblées
En septembre 2016, l‘hébergeur OVH est victime d’une attaque DDoS. Près de 145 000 objets connectés sont pilotés à l’insu de leurs utilisateurs par un serveur botnet. Cette attaque massive sature les serveurs de l’hébergeur et perturbe la distribution des services auprès de ses clients. Quelques semaines plus tard, c’est au tour du serveur DNS Dyn, acteur stratégique de l’Internet aux États-Unis, d’être ciblé. Des millions de caméras de sécurité, routeurs et autres objets connectés deviennent le vecteur d’attaque (réseau botnet) d’un serveur central.

Les IoT en chiffres : estimations et constats
En 2014, IDC annonce qu’il existe à travers le monde 200 milliards d’objets capables de se connecter à Internet. 14 milliards d’entre eux (soit 7%) communiquent déjà via Internet et représentent 2% des données numériques mondiales. D’ici à 2020, IDC prévoit entre 30 et 50 milliards d’IoT, représentant à eux seuls 10% du volume total de données générées. Fin juillet 2015, les différentes études menées par HP Fortify portant sur la sécurité des IoT révèlent que les montres connectées sont une nouvelle cible pour les pirates. 100% des appareils testés présentent des vulnérabilités. Celles-ci mettent en évidence la mauvaise protection des données personnelles (authentification et chiffrement insuffisants par exemple).

Deux ans plus tard, où en sommes-nous ?
Les attaques augmentent et les techniques progressent. Le malware Mirai utilisé pour corrompre des IoT se fait doubler par Hajime, un logiciel malveillant aux mêmes fonctions, mais plus puissant. À l’échelle mondiale, 100 000 IoT seraient infectés par Hajime.

Chaque mois, de nouvelles cyberattaques DDoS apparaissent. Sur le blog d’ESET (WeLiveSecurity.com), les chercheurs relèvent qu’un botnet P2P de 2003 a été mis à jour pour s’adapter aux nouveaux agents connectés. Il semblerait que les botnets autrefois sur ordinateurs se dirigent vers les mobiles… Et prochainement sur les objets connectés.

La sécurisation des IoT : négligence des constructeurs ?
Les constructeurs d’IoT concentrent leurs efforts sur la technologie de leur appareil. Les coûts de fabrication de la plupart d’entre eux sont faibles, permettant ainsi de proposer un produit accessible au public. Administrer des systèmes de sécurité dans ces appareils est long, coûteux et compliqué. Or, les constructeurs veulent rentabiliser rapidement la commercialisation de leur IoT. La partie sécurité n’est donc généralement pas prise en compte. Heureusement, tous ne sont pas dans ce cas de figure.

D’ici 2018, IDC prévoit que 34% des dépenses en sécurité se feront sur la protection des données à caractère personnel. À cette date, chaque particulier disposera au total d’une trentaine d’objets connectés : smartphone, voiture connectée, montre, réfrigérateur, box, jouet pour enfants…

Quelles solutions pour se prémunir des attaques ciblant les IoT ?
Bien que certaines normes soient en place, aucune réglementation n’oblige les constructeurs à mettre en place des mesures de sécurité sur les IoT. En attendant, la première étape serait d’acheter des objets connectés de qualité conformes aux normes de sécurité actuelles. Les experts ESET conseillent également de mettre à jour les logiciels et de tester les appareils. Ceci permettra de détecter d’éventuelles vulnérabilités (mots de passe mis par défaut) et d’y remédier. Enfin, la sécurisation du réseau est indispensable.

Dans ce contexte, comment détecter les nombreuses menaces issues de milliards d’appareils ? Est-ce faisable en mode proactif et dès leur création ? Les gestionnaires de risque des grandes entreprises déclarent travailler en moyenne avec une cinquantaine de solutions de sécurité. Combien sont réellement adaptées aux cybermenaces que représente l’emploi de l’IoT ?

Cybersécurité, ID, Identité numérique, IOT, Logiciels, Mise à jour, Particuliers, Patch

Une mise à jour plante des milliers de télévisions connectées Samsung

Des milliers de télévisions connectées de marque Samsung sont aux abonnés absents. Les propriétaires font les frais d’une mise à jour qui a tout planté.

Des milliers de propriétaires de télévisions connectées haut de gamme Samsung se sont plaints après une mise à jour logicielle qui a laissé leur écran sourd et muet. La raison, une mise à jour bancale. L’alerte a été lancée par le quotidien britannique « The Guardian« . La société coréenne a déclaré aux clients qu’elle travaillait pour résoudre le problème, mais que jusqu’à présent (soit plus d’une semaine, Ndr) rien n’est encore sorti pour corriger le « bug ». Le problème semble affecter les derniers modèles de la marque car les propriétaires d’anciens téléviseurs Samsung ne signalent aucun soucis. Une fois encore, le géant Samsung montre de léger dérapage dans sa structure. En 2016, l’entreprise proposait dans ses téléviseurs vendus au Royaume-Uni l’application BBC iPlayer. Sauf que l’entreprise avait omis d’en acquérir les droits. La diffusion des images étaient donc impossibles pour les acquéreurs des coûteux écrans. Un étonnant bug qui apparaît alors que Samsung a lancé, ce 23 août, son Samsung Note 8.