Internet des objets : des risques de sécurité de plus en plus prégnants
L’édition 2014 de la conférence Black Hat, qui se déroulait au mois d’août à Las Vegas, a montré que les risques de sécurité liés à l’Internet des objets sont appelés à demander une attention croissante dans un futur proche.
Des milliards d’objets sont appelés à être connectés à Internet au cours des prochaines années, du fait de ce qu’il convient aujourd’hui d’appeler l’Internet des objets. Une véritable révolution quant à la quantité de données générées et partagées. Mais ce qui manque pour l’heure de clarté, c’est l’importance que les entreprises à l’origine de ces objets connectés accordent à la sécurité.
Lors de la récente édition américaine de la conférence Black Hat, début août, de nombreux chercheurs ont évoqué les risques de sécurité émergents avec l’Internet des objets, depuis le piratage des voitures à celui des thermostats intelligents, en passant par les communications par satellite.
Dan Geer, RSSI d’In-Q-Tel, a ainsi donné le ton en lançant un avertissement : la surface d’attaque d’Internet s’étend à mesure que de nombreux terminaux arrivent en ligne, et nous devons nous préparer à l’inévitable. Comme il a pu le faire par le passé, Geer a insisté sur le besoin, pour les organisations déployant des objets connectés, de choisir entre appliquer régulièrement des correctifs à ces systèmes embarqués ou de faire l’impasse sur un tel support et, dans ce cas, graver le silicone une date de fin de vie afin que les objets concernés cessent de fonctionner au bout d’un temps déterminé.
Mais pour l’heure, malgré son expérience, Geer est accablé par le risque que représente l’Internet des objets : « personne n’a connu un échec à l’échelle dont nous parlons aujourd’hui ».
Des voitures hautement informatisées
Après l’intervention de Geer, les chercheurs présents à Black Hat s’en sont allés pirater à peu près tout ce que l’on peut imaginer.
Pour commencer, Charlie Miller, de Twitter, et Chris Valasek, d’IOActive, ont montré l’ampleur du contrôle dont les systèmes informatiques disposent sur presque tous les aspects du fonctionnement d’une voiture moderne, depuis les freins jusqu’au moteur en passant par la direction. Par Valasek, tout véhicule à moteur embarque désormais un réseau qui, une fois compromis par un pirate, permet à ce dernier « de se faire passer pour tout équipement de la voiture, dans une certaine mesure. »
Le duo a ainsi montré comment il est possible de faire croire à une voiture roulant à faible allure qu’un mécanicien cherche à purger son système de freinage – une intervention qui annihile ce système. Valasek a pour sa part montré comment, en tant que passager, tourner soudainement le volant complètement à gauche, alors que Miller conduisait à environ 60 km/h. Une chose que la direction assistée ne permet normalement qu’à des vitesses bien inférieures ou à l’arrêt.
Les chercheurs ont également présenté une étude déterminant la surface d’attaque de nombreux véhicules actuellement commercialisés par Honda, Dodge, ou encore BMW. La palme de la piratabilité revenant au Jeep Cherokee version 2014.
Toyota, constructeur de l’un des véhicules piratés, a émis une déclaration officielle, soulignant que Miller et Valasek devaient être physiquement présents dans le véhicule, avoir démonté une partie du tableau de bord, et maintenir une connexion filaire pour que le piratage fonctionne. Un porte-parole de Ford a quant à lui assuré que le groupe prend le sujet très au sérieux.
Miller et Valasek ont insisté : le but de leur étude n’est pas de supprimer l’informatique embarquée et les fonctionnalités qu’elle apporte, mais de mettre en exergue les problèmes pour que les constructeurs automobiles y répondent.
Tout est piratable
Mais ce n’est pas tout. Billy Rios, directeur du renseignement sur les menaces chez Qualys, a quant à lui montré à quel point il pourrait être facile pour un attaquant de compromettre les équipements de sécurité mis en place par la TSA américaine, l’agence en charge notamment de la sécurité du transport aérien. Rios a notamment découvert que les équipements signés Rapiscan et Morpho embarquent souvent des identifiants pour la maintenance technique enregistrés en dur dans leurs produits.
Dans le cas de l’Itemiser de Morpho, un scanner qui détecte explosifs et narcotiques, Rios a découvert que l’appareil s’appuie sur un mot de passe pour technicien, inscrit dans le code et qui, s’il est changé, empêche l’appareil de fonctionner.
Suite aux résultats des recherches de Rios et à celles de Terry McCorkle, le ministère américain de la sécurité intérieure a émis un avertissement en juillet, soulignant que l’Itemiser 3 v8.17 de Morpho contient des identifiants enregistrés en dur et que l’appareil peut être compromis à distance. Un représentant du groupe français, présent lors de Black Hat, a assuré que l’Itemiser en question, une ancienne version, recevrait un correctif d’ici la fin de l’année, et que Morpho prend très au sérieux la sécurité de ses produits. Rios ne s’en interroge pas moins que d’éventuelles failles comparables au sein de l’Itemizer DX, plus récent, mais qu’il n’est pas parvenu à acquérir.
Rios a en outre souligné que la TSA impose désormais à ses fournisseurs des règles de sécurité plus strictes. Pour lui, l’agence américaine a non seulement les moyens de forcer les constructeurs à aller de l’avant, mais en a également la responsabilité.
Et la question des identifiants inscrits en dur dans le code ne se limite pas à ces exemples, comme le relève Ruben Santamarta, consultant sécurité chez IOActive : il a identifié des problèmes similaires sur les terminaux de communication par satellite (Satcom) des avions, et même de l’armée, qu’ils soient signés Cobham Plc., Harris Corp., Hughes Network Systems, Iridium ou encore Japan Radio. De quoi laisser la porte ouverte à la manipulation malveillante de systèmes tels que l’Aviator 700 de Cobham qui sert à la communication par satellite de l’avion, mais également assure la connexion Wi-Fi des passagers. Selon Cobham, le piratage de l’équipement nécessiterait toutefois un accès physique, à l’appareil ou au réseau sur lequel il est installé.
Reste pour Santamarta, « le fait est que les vulnérabilités sont là. [Pirater] pourrait donc être possible, ou pas. Mais c’est quelque chose qui doit être corrigé. »
Agir
Si certaines démonstrations peuvent être perçues comme plus spectaculaires que réellement reproductibles, une récente étude HP met en lumière, de manière chiffrée, l’ampleur du sujet. Selon cette étude, 70 % des appareils de l’Internet des objets seraient vulnérables à au moins une forme d’attaque. 60 % de ceux offrant une interface utilisateur seraient vulnérables à des problèmes tels que le scripting inter-sites Web ou encore des identifiants peu robustes. Et 70 % des appareils de l’Internet des objets utilisent des services réseau non-chiffrés.
De tels chiffres appellent clairement à un passage à l’offensive. Et pour certains, c’est déjà fait, comme pour Josh Corman, Directeur technique de Sonatype et cofondateur du groupe I Am The Cavalry, dédié à la sécurisation des objets connectés.
Début août, le groupe I Am The Calvary a publié une lettre ouverte adressée aux constructeurs automobiles, appelant à une collaboration entre cette industrie et les chercheurs en sécurité. Et de proposer une liste de cinq pratiques de référence, le Five Star Automotive Cyber Safety Program. Une pétition en soutien de cet appel a été lancée.
Corman assure que l’industrie de la sécurité va continuer de travailler avec les constructeurs et les acteurs de la politique afin de sécuriser l’Internet des objets : « nous essayons d’atteindre le point où les personnes concevant, construisant et déployant l’infrastructure numérique sont plus attentifs à son impact sur la vie humaine, » a-t-il indiqué à Al-Jazeera lors d’un entretien.