La faille Devil’s Ivy expose des millions d’objets connectés – Par Sandor Balint, Balabit

Les chercheurs de la société américaine Senrio, viennent de révéler l’existence d’une faille de sécurité nommée Devil’s Ivy – incluse dans la solution de bilbliothèque gSOAP – exposant des millions d’objets connectés à des cybermenaces, notamment de nombreuses caméras de surveillance.

Sandor Balint, Responsable Sécurité Sciences appliquées des données de Balabit (éditeur de solutions de gestion des accès privilégiés, PAM) vous propose son commentaire sur les vulnérabilités mettant en péril la sécurité des entreprises utilisant des objets connectés :

« Il est très inquiétant d’apprendre que des vulnérabilités directement exploitables sur des terminaux connectés utilisés dans des systèmes de sécurité physique, sont en accès libre.
Le problème n’étant pas en soi la présence de vulnérabilités – il serait irréaliste de penser qu’un logiciel fonctionnant sur ce type de terminaux serait plus sécurisé que n’importe quel autre logiciel – mais plutôt le fait qu’une grande partie de ces terminaux connectés sont directement accessibles de réseaux publics. Ceux qui exploitent et opèrent sur ces terminaux devraient être mieux informés. Cela passe par plusieurs évolutions.

Tout d’abord, tous les utilisateurs d’objets connectés/IoT devraient être informés en temps-réel des vulnérabilités exploitables de leurs terminaux. L’un des principaux problèmes de l’IoT est que les fabricants de terminaux ne sont pas réactifs pour patcher les vulnérabilités découvertes sur les objets qu’ils commercialisent, si tant est qu’ils prévoient de les patcher… Comme tous les logiciels, les logiciels fonctionnant sur des terminaux IoT contiennent donc également des vulnérabilités, ce qui signifie que ça n’est qu’une question de temps pour qu’une vulnérabilité inconnue mais déjà présente, devienne connue et exploitable. Toute personne installant ce type de terminal connecté devrait prendre cela en compte et utiliser des outils et mesures de contrôles additionnels (comme limiter les accès au réseau, renforcer l’authentification et idéalement mettre en place une surveillance de sécurité) pour protéger leurs terminaux de probables abus.

Ensuite, il est important de bien comprendre que les terminaux faisant partis d’infrastructures de sécurité physique, à l’instar de caméras de surveillance connectées au réseau, ne devraient jamais être accessibles de réseaux publics. Traditionnellement, les terminaux utilisés pour contrôler des accès physiques (tels que des lecteurs de badge, les contrôles d’ouverture de porte, les caméras de surveillance ou encore les systèmes d’alarme, etc.) sont installés sur un réseau qui était physiquement séparé de tous les autres réseaux informatiques. Cela était (et l’est encore pour beaucoup) considéré comme une règle obligatoire, en considérant que tout type d’interférence avec le système de sécurité pourrait compromettre son intégrité et entraîner une grave violation de la sécurité, pouvant même aller jusqu’à menacer des vies.

Cependant, la construction et le maintien d’une infrastructure de réseau distincte (y compris des câbles distincts, des dispositifs actifs, etc.) sont coûteux et beaucoup seront tentés d’utiliser simplement l’infrastructure déjà existante, en utilisant des technologies logicielles pour isoler les réseaux souhaités par exemple dans des réseaux virtuels locaux ou VLANs. De plus, le fait que la plupart de ces terminaux connectés utilisent la même technologie de réseau IP que d’autres systèmes informatiques créent des tentations : en connectant simplement le segment du réseau de sécurité physique au réseau informatique, les images d’une caméra de surveillance sont facilement mises à disposition du personnel de sécurité à distance et de partout. De la même manière, les agents de sécurité peuvent ainsi également accéder aux dispositifs de contrôle d’accès physique à distance pour intervenir sur ces dispositifs rapidement et facilement. En un sens, cela peut être souhaitable car cela permet d’augmenter le niveau de sécurité (par exemple, si un employé perd son badge, il peut être rapidement révoqué dans le système et identifié comme perdu, empêchant un accès non autorisé), mais cela peut aussi entraîner des risques importants dans la mesure où bien plus de personnes que nécessaire ont accès à ce segment de réseau protégé.
Pour optimiser la sécurité de ce type d’installation, il est bien plus recommandé de mettre en place des contrôles de compensation tels que des pare-feux, des VPN, une authentification forte, et des contrôles strictes des points où le réseau informatique et les segments de sécurité physique sont autorisés à se rencontrer,

Traditionnellement, la sécurité physique et le réseau de sécurité sont des champs séparés et gérés par des personnes différentes aux compétences distinctes, voire même par des divisions complètement différentes. Aujourd’hui avec la convergence des technologies, une approche plus intégrée de la sécurité est essentielle. Les menaces ne sont souvent plus purement physiques ou axées sur le réseau, mais elles peuvent être beaucoup plus complexes, et avoir un effet sur les actifs physiques tout en ciblant indirectement les actifs d’information – ou inversement.

Cela requiert des experts en sécurité bien préparés avec une connaissance des différents réseaux, qui sont capables d’anticiper les menaces potentielles complexes et de concevoir des solutions de sécurité complexes offrant une protection adéquate pour tous les actifs – physiques ou non. »

Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?