À la suite des attaques contre le service informatique américain Dyn en 2016 et des récentes constatations de vulnérabilité lors de l’attaque « Devil’s Ivy », les appareils IdO (Internet des objets) ne sont plus simplement une nouvelle tendance dans l’industrie de la sécurité, ils se trouvent désormais au centre des stratégies de cybersécurité.
Les attaques contre Dyn ont révélé que « les appareils IdO peuvent être utilisés à des fins malveillantes », estime Mathieu Chevalier, directeur de l’équipe de cybersécurité du service de développement de produits chez Genetec. « Même si un appareil peut ne pas contenir de renseignements ou d’actifs critiques, il pourrait quand même être une cible d’attaque », ajoute Jerry Zhang, directeur de la chaîne de produits de sécurité chez Dahua.
« L’attaque des appareils IdO n’était pas l’objectif ultime des attaques contre Dyn en 2016 », analyse-t-il.
Les pirates ont ciblé les serveurs de noms de domaine (DNS) du fournisseur Dyn (maintenant Oracle) via le logiciel malveillant Mirai (réseau de zombies ou zombienet), utilisant la vulnérabilité d’une « armée de caméras IP ainsi que d’enregistreurs vidéo en réseau (NVR) et numériques (DVR) » pour surcharger le DNS, explique M. Chevalier.
« Le zombienet Mirai se compose principalement d’appareils IdO non sécurisés, tels des caméras et des routeurs », fait savoir le chef de la sécurité chez BlackBerry, Alex Manea. « Les codeurs ont recherché, je crois, 60 combinaisons de nom d’utilisateur et de mot de passe par défaut installés sur ces caméras et routeurs. »
Ryan Zatalokin, technologue principal chez Axis Communications, indique que l’industrie a encouragé les utilisateurs et les installateurs à utiliser des mots de passe complexes ainsi que des réseaux isolés ou protégés par un pare-feu pour empêcher les pirates de réquisitionner les appareils.
« Le plus important, ce n’est pas seulement les caméras ou les autres appareils Axis (dans notre cas), mais tout appareil réseau potentiellement à risque, insiste-t-il. Il ne s’agit donc pas seulement de sécuriser un type d’appareil sur le réseau, mais de sécuriser tous les appareils du réseau. »
M. Manea est d’accord : « Tout ce qui se connecte à la fois à votre réseau d’entreprise et à Internet présente une menace de sécurité. Vous devez donc vous assurer a) que vous pouvez gérer chacun des points de connexion et b) que vous pouvez envoyer des mises à jour logicielles à ces points. Si certains de vos appareils IdO ne peuvent pas être mis à jour et que quelqu’un les pirate, vous êtes dans le trouble! »
L’émergence de nouveaux zombienets rend la sécurisation des points de connexion des appareils IdO encore plus critique, comme en témoigne la constatation de vulnérabilité lors de l’attaque « Devil’s Ivy » l’été dernier.
« Devil’s Ivy a été dirigé contre une bibliothèque tierce utilisée par plusieurs fournisseurs », précise M. Chevalier. Cette bibliothèque était un code source appelé gSOAP, produit par Genivia. Cette fois, les pirates ont utilisé un réseau de zombies différent : le Reaper. Ils envoient 2 Go de données aux appareils, exécutant un code qui pourrait les désactiver, installer des logiciels malveillants ou intercepter une séquence vidéo.
Les pirates éthiques de la firme de sécurité Senrio ont d’abord découvert de la vulnérabilité dans une caméra Axis. En réponse à cette vulnérabilité, Axis a travaillé avec Genivia pour « craquer leur code source », confie
M. Zatalokin, pour ensuite déployer un programme correctif afin de remédier à cette vulnérabilité. Comme un certain nombre de membres de l’ONVIF utilisaient le même code source, Axis a également informé l’organisation de cette vulnérabilité.
Selon M. Chevalier, les fabricants ont ensuite effectué des évaluations internes pour déterminer si leurs produits s’avéraient vulnérables. Dans cette éventualité, ils ont fourni un micrologiciel pour corriger la vulnérabilité. Bien que Genetec ait récemment publié un avis sur sa plateforme Security Center visant à aider les fabricants à corriger les vulnérabilités, M. Chevalier est d’avis « qu’il est de la responsabilité du client de maintenir ses appareils IdO à jour ».
Leçons apprises : l’éducation est la clé
À ce titre, Axis, Dahua et Genetec se sont fortement concentrés sur l’éducation, non seulement des concessionnaires et des installateurs, mais aussi des utilisateurs. « La sensibilisation et l’engagement des utilisateurs s’avèrent des étapes très importantes de la cybersécurité, soutient M. Zhang. Comme l’indique le palmarès Top 10, 2017 de l’OWASP (Open Web Application Security Project) : une mauvaise configuration de la sécurité est l’un des problèmes les plus fréquemment rencontrés. Il est important d’informer judicieusement les utilisateurs sur les menaces de sécurité, les programmes correctifs de logiciels et les meilleures pratiques. »
M. Chevalier va dans le même sens : « La première chose que nous tentons de faire avec nos clients est de les sensibiliser [à la vulnérabilité] ». Par exemple, Genetec a publié un avis de sécurité sur son site Internet concernant la vulnérabilité de l’attaque Devil’s Ivy. « Même si nos produits n’ont pas été directement touchés, nous savons que nos clients peuvent utiliser des produits touchés. Nous essayons donc de leur faire savoir qu’ils pourraient devoir faire quelque chose », présente-t-il.
Dans sa plus récente version (5.7) de Security Center, Genetec informe les clients du risque d’utiliser des mots de passe simples ou de laisser les mots de passe par défaut sur leurs appareils. En outre, la plateforme logicielle fournit des mises à niveau du micrologiciel.
« Il s’agit de la deuxième chose la plus importante à faire pour sécuriser vos appareils IdO, fait valoir M. Chevalier. Dans la version 5.7 de notre logiciel, nous avons intégré un avertissement automatique. Donc, si vous utilisez, disons, une caméra Axis vulnérable à cause de l’âge de son logiciel, nous obtenons cette information sur notre site Internet et nous l’affichons sur Security Center à l’attention de l’utilisateur. »
Dans la même foulée, Axis a lancé une campagne d’éducation il y a quelques années pour sensibiliser ses ingénieurs et ses représentants, ainsi que son service de R et D. Axis offre également une page Web dédiée aux vulnérabilités informatiques courantes (CVE), sur laquelle l’entreprise publie des informations concernant des vulnérabilités susceptibles d’affecter ses produits, et elle divulgue des conseils pour réduire les risques.
« Beaucoup de bonnes habitudes reposent sur une bonne éducation. Il y a à peine quelques années, les gens conservaient les mots de passe par défaut sur nos produits et ceux des autres fournisseurs. Aujourd’hui, c’est évident que c’est quelque chose à ne pas faire », met en garde M. Zatalokin. En 2017, Axis a aussi instauré des fonctionnalités comme un indicateur de complexité du mot de passe et un service de désactivation sur certains produits anciens.
Nouvelles fonctionnalités de cybersécurité
Cela ne signifie pas que les entreprises de sécurité n’adoptent pas de nouvelles mesures pour accroître la sécurité des appareils IdO. Par exemple, bien que les produits Dahua n’aient pas été affectés par l’attaque de vulnérabilité Devil’s Ivy, la compagnie a rendu la cybersécurité obligatoire dans la conception des produits, et elle a commencé à implanter le standard de cybersécurité Dahua de base dans son micrologiciel lancé en juillet 2017.
« Nous avons adapté des outils de numérisation avancés pour filtrer nos produits contre les vulnérabilités connues, mentionne M. Zhang. Les tests d’intrusion sont effectués par des équipes d’essais indépendantes. Nous mettons également le standard de cybersécurité Dahua de base continuellement à niveau, afin de refléter les changements de menaces en cybersécurité. »
En outre, le Centre de cybersécurité de Dahua a été créé au début 2017 pour recevoir des rapports de vulnérabilité de sécurité, communiquer des avis de sécurité et partager des connaissances en matière de cybersécurité avec ses clients.
Genetec lance également une nouvelle plateforme de sensibilisation – le Genetec Trust Center – qui fournira des ressources et du contenu à tous : des intégrateurs aux consultants, en passant par les utilisateurs. Ces derniers pourront ainsi mieux évaluer la sécurité et l’intégrité de leur matériel et leurs logiciels.
Pour sa part, Axis se concentre sur la sécurisation des plateformes. La compagnie dispose désormais des outils nécessaires pour déployer le chiffrement par défaut. « Nous avons intégré HTTPS [HTTP sécurisé] par défaut dans nos produits, de sorte que lorsque vous vous connectez à vos produits, cette connexion est sécurisée. Donc, si quelqu’un espionne le réseau, il ne sera pas capable d’accéder à des renseignements critiques comme des noms d’utilisateur et des mots de passe », déclare M. Zatalokin. Ce dernier est d’avis que ces changements « ont grandement réduit les chances que quelqu’un décèle de la vulnérabilité informatique par laquelle attaquer nos produits ».
– Rédigé avec du matériel de Neil Sutton
Print this page
