fotohansel - Fotolia
Peter Kosinar, Eset : « les objets connectés restent vulnérables, mais ils sont moins accessibles »
Chercheur sénior en menaces chez l’éditeur, Peter Kosinar revient, partage, dans un entretien avec la rédaction, ses observations sur l’état de la sécurité des objets connectés, deux ans après Mirai.
LeMagIT : En vacances cet été, je suis tombé sur un routeur MicroTik parfaitement maintenu, une vraie surprise, une exception semble-t-il. Mirai n’a donc pas suffi à éveiller les esprits ?
Peter Kosinar : Fut un temps où l’on se promenait en voiture en ville à la recherche de points d’accès ouverts ou faciles à cracker (WEP), le fameux war driving. Selon mon expérience, il y a dix ans, on pouvait en trouver partout. Mais aujourd’hui, c’est bien plus difficile ; le WPA2 s’est généralisé. En fait, les choses ont bien progressé, même si la situation n’est pas idéale. Il y a peu, on trouvait encore des points d’accès dont le mot de passe par défaut était dérivé du BSSID.
En somme, aujourd’hui, la question porte moins sur le fait de pouvoir s’inviter sur le réseau que sur ce que l’on peut y faire une fois que l’on y a accès. Et là, il peut y avoir des dizaines d’appareils connectés auxquels on ne pense pas forcément. Et ils sont minés par les réglages par défaut – services, identifiants, etc.
Toutefois, aujourd’hui, je vois des objets connectés livrés avec une configuration par défaut plus sûre. Ou plutôt pour lesquels il n’y a pas grand-chose que l’on puisse faire, en tant qu’utilisateur final, pour les rendre plus sûrs. Et c’est de plus en plus le cas. Mais cela ne veut pas qu’ils ne seront pas un jour vulnérables à quelque chose. Cela veut juste dire qu’il faut consacrer du temps à la recherche de leurs vulnérabilités. Les objets connectés sont toujours vulnérables, mais le seuil pour passer à l’attaque est plus élevé. Pour autant, il reste beaucoup de machines ouvertes ou faciles à détourner.
LeMagIT : En fait, selon vous, il y a eu un progrès dans la manière dont les constructeurs gèrent la sécurité de leurs produits connectés ?
Peter Kosinar : Il y a eu des progrès quant à l’état en sortie d’usine, mais d’après mes observations, assez peu sur la manière dont les constructeurs gèrent la correction des vulnérabilités. Si un problème est découvert après la livraison, le correctif n’est pas toujours au rendez-vous.
Le processus de gestion des mises à jour est si lourd qu’un utilisateur lambda ne saura probablement même pas qu’un correctif est disponible. Et certains constructeurs semblent n’avoir toujours aucune idée du concept de la sécurité, laissant encore traîner des comptes aux identifiants fixés en dur dans le logiciel.
LeMagIT : Vous voulez parler de Cisco sans le nommer ?
Peter Kosinar : Non, parce que si Cisco a été concerné, il a fait ce qu’il fallait faire. Je pense à un autre cas où le constructeur n’avait pas compris que le problème venait du compte codé en dur et a répondu au problème en laissant le compte… mais en lui affectant un mot de passe plus robuste. Et puis, il y a les cas où les constructeurs essaient de suivre les bonnes pratiques à la lettre, mais font des erreurs, de bonne foi. Cela arrive aussi.
En fait, là, je voulais surtout parler d’appareils accessibles depuis Internet. Mais il faut aussi compter avec un grand nombre de petits appareils, de caméras IP, ou d’imprimantes susceptibles d’être plus vulnérables, mais ne sont normalement pas accessibles depuis Internet, et sont donc moins exposés.
Et cette exposition réduite n’est d’ailleurs souvent pas volontaire, ni le fruit d’un souci de sécurité ; généralement, ce n’est qu’un effet secondaire de la gestion de l’espace d’adressage d’IPv4, avec le NAT. Et pour ces appareils-là, je n’ai pas observé beaucoup de progrès. Beaucoup de constructeurs ne semblent pas avoir la moindre idée de la sécurité en ligne. Et si les appareils sont à l’abri, c’est uniquement parce qu’ils ne sont pas vraiment accessibles sur Internet.
LeMagIT : Le problème vient plutôt des constructeurs ou des utilisateurs ? De nombreux correctifs disponibles ne sont tout simplement pas appliqués… Et même les mécanismes de maintenance ou de mise à jour automatique ne sont pas parfaitement sûrs.
Peter Kosinar : C’est une question difficile : la mise à jour automatique est susceptible de résoudre en masse des vulnérabilités, mais également de produire un problème de masse si le fournisseur est compromis…
Concrètement, je pense par exemple que le choix de Microsoft pour Windows 10, s’il peut être frustrant pour beaucoup, avec des mises à jour et des redémarrages survenant à des moments malvenus, contribue à améliorer la sécurité informatique dans son ensemble. Les mises à jour automatiques sont une bonne chose lorsque l’on a un fournisseur robuste capable de gérer rigoureusement le sujet, et d’assurer l’authentification des mises à jour.
Certains optent, sur leurs appareils, pour une approche intermédiaire : c’est l’utilisateur qui décide in fine de l’application de la mise à jour, en appuyant sur un bouton, et tout le reste est transparent. En outre, dans cette perspective, c’est l’appareil qui demande la mise à jour ; elle ne lui est pas poussée comme avec le protocole TR-069 détourné par Mirai.
D’ailleurs, en général, je ne vois pas pourquoi tous ces appareils devraient exposer sur Internet autant de services. Mais beaucoup le font.
LeMagIT : Certains appareils sont une cause perdue. Mais certains acteurs, chinois par exemple, abreuvent le marché de produits connectés comme des ampoules, peuvent-ils pousser mécaniquement le marché ?
Peter Kosinar : Je ne crois pas. La concurrence est forte. Pour beaucoup, il ne s’agit pas de faire les choses bien, mais d’être les premiers à les faire. Parce que sinon, quelqu’un d’autre l’aura déjà fait et aura capté le marché. Et puis il y a le facteur prix. Mais si les constructeurs chinois font la sécurité et des petits prix, ils seront gagnants sur les deux tableaux.
Ce qui aide aussi, toutefois, ce sont les passerelles d’automatisation domestique auxquelles se connectent les appareils connectés. Outre leur fonction de hub, ils introduisent une limite physique au périmètre géographique d’où lancer l’attaque. D’où une forte réduction de la surface exposée.
Cette approche basée sur l’architecture est une voie pour améliorer la situation et la sécurité des objets connectés.