Comment l’IoT peut compromettre l’intégrité du réseau

L’IoT (Internet des objets) bouleverse l’espace des réseaux et ouvre la voie à la communication machine à machine (M2M) et aux processus automatisés. Des voitures connectées aux maisons intelligentes, en passant par la chirurgie à distance et la robotique, les opportunités et le potentiel sont infinis.

Les chiffres récents indiquent qu’environ 8,4 milliards d’appareils IoT sont utilisés, et ce nombre devrait atteindre plus de 20 milliards d’ici 2020. Aujourd’hui, l’IoT englobe un vaste éventail technologique et son déploiement se décline sous de nombreuses formes. Parmi eux figurent les cas d’utilisation gérés de l’Internet industriel des objets (IIoT) et les cas d’utilisation non gérés de l’Internet grand public des objets (CIoT).

Bien que l’IIoT puisse paraître extrêmement complexe, la gestion de la sécurité est en fait facilement réalisable. La clé ici est une solution qui contrôle le flux de trafic entre les appareils et les application, garantissant le meilleur service de sa catégorie et garantissant la conformité du protocole.  Il est également essentiel de sécuriser les communications via la cryptographie (TLS) et les services de sécurité avec état (police et protection des vulnérabilités).

L’un des principaux défis du déploiement de l’IIoT réside dans l’évolution des caractéristiques des mesures de trafic. Les appareils IIoT sont très nombreux, les sessions sont longues (des mois, voire des années) et le volume de trafic est généralement très faible. Mettre fin aux sessions d’inactivité n’est pas toujours une option. En effet, la nature « toujours active » de certaines applications peut entraîner une tempête de trafic au sein du réseau.

Les appareils CIoT, qui ne sont généralement pas gérés, incluent des éléments tels que des caméras de vidéosurveillance, des systèmes de haut-parleurs intelligents et des objets portables. Lorsque vous êtes assis derrière un CPE d'abonné mobile à large bande ou à ligne fixe, il peut être difficile d'identifier ces appareils dans le réseau car les relations de communication ne sont pas clairement définies.

Le problème est accentué par le fait que de nombreux appareils intelligents sont construits sur des chipsets bon marché qui fournissent la pile de protocoles réseau et, occasionnellement, une couche application . Les fabricants évitent souvent de fournir des correctifs et se lavent parfois même les mains de toute responsabilité une fois l'appareil expédié. Cela peut entraîner des perturbations importantes. Selon le dernier rapport Threat Intelligence de F5 Labs, l'Europe est déjà un point chaud pour les Thingbots, qui sont construits exclusivement à partir d'appareils IoT et deviennent rapidement le système de distribution d'armes cybernétiques de choix pour les attaquants ambitieux qui créent des botnets.

F5 Labs a signalé 30,6 millions d'attaques Thingbot mondiales entre le 1er janvier et le 30 juin 2017, exploitant des appareils utilisant Telnet, un protocole réseau fournissant une interface de ligne de commande pour communiquer avec un appareil. Cela représente une augmentation de 280 % par rapport à la période de référence précédente, du 1er juillet au 31 décembre 2016. Les fournisseurs d'hébergement représentaient 44 % des 50 principales adresses IP attaquantes, dont 56 % provenaient de sources FAI/télécoms.

Malgré cette augmentation, les activités d'attaque ne sont pas à la hauteur de la taille des principaux coupables de Thingbot, Mirai et Persirai. 93 % des attaques survenues au cours de la période de référence de F5 ont eu lieu en janvier et février, avec une activité en baisse de mars à juin. Cela pourrait indiquer que de nouvelles attaques se profilent à l’horizon alors que les attaquants passent de la phase de « reconnaissance » à la phase de « construction uniquement ».

Malheureusement, nous continuerons de voir des Thingbots massifs être construits jusqu'à ce que les fabricants d'IoT soient obligés de sécuriser ces appareils, de rappeler des produits ou de céder à la pression des acheteurs qui refusent tout simplement d'acheter des appareils aussi vulnérables.

Dans ce contexte, les fournisseurs de services sont confrontés au défi non seulement d’identifier les activités d’infection, mais également d’atténuer les attaques DoS sortantes.

Les règles de pare-feu traditionnelles de couche 3 et 4 ne sont plus d’une grande aide. Une analyse comportementale robuste du trafic est désormais essentielle. De cette façon, les dispositifs de sécurité apprennent la ligne de base « normale » du réseau au fil du temps. Une fois qu’un écart est détecté, diverses activités sont lancées. Il pourrait s’agir de créer une alerte, qui déclencherait un processus d’atténuation manuel après vérification humaine, ou de créer une signature dynamique pour les technologies d’atténuation existantes afin de bloquer les anomalies détectées.

Les réseaux d’autodéfense font partie intégrante de architecture de sécurité de demain. En attendant, les organisations responsables peuvent faire de leur mieux pour se protéger en mettant en place une stratégie DDoS , en garantissant la redondance des services critiques et en mettant en œuvre des solutions de credential stuffing . Il est également important de sensibiliser en permanence les employés aux dangers potentiels des appareils IoT et à la manière de les utiliser en toute sécurité.