in

IoT : la vulnérabilité Devil’s Ivy – Par Vincent Lavergne, F5 Networks

Suite à la découverte par Senrio Labs d’une vulnérabilité qui concernerait potentiellement une dizaine de millions d’objets connectés, Vincent Lavergne, Expert attaques DDoS chez F5 Networks et membre du Comité de Pilotage et du Cercle des Assises de la Sécurité 2017, vous propose son commentaire.

« Si l’impact de la vulnérabilité Devil’s Ivy est relatif (elle ne permettrait « que » de voir le flux vidéo ou d’interdire l’accès au flux vidéo des caméras concernées), celle-ci montre néanmoins l’importance du risque qui peut en découler et l’intérêt pour les hackers d’identifier des vulnérabilités similaires. Du fait de l’industrialisation de ces objets et de leur sécurité, une fois une vulnérabilité identifiée, un groupe de hackers peut très rapidement l’utiliser à des fins malveillantes. L’internet des objets (IoT) leur offre ainsi un effet de levier sans précédent pour constituer très rapidement un BotNet de taille très importante comme dans le cas du BotNet Miraï estimé à une centaine de milliers d’objets infectés. On comprend donc vite « l’intérêt » d’une faille telle que Devil’s Ivy même si l’exécution de code tiers en exploitant cette faille n’a pas encore été démontrée à l’heure où nous écrivons. »

« Dans le cas de cette vulnérabilité, les objets concernés étant déjà déployés, il va être difficile de mettre en place une action corrective à grande échelle pour combler la vulnérabilité. Et c’est l’un des principaux défis de l’IoT : comment gérer la réponse aux incidents pour ce type d’équipement ? L’internet des objets introduit en effet de nouvelles problématiques pour la sécurité et beaucoup d’entre elles mériteraient des analyses approfondies ou une collaboration entre industriels afin de définir une approche optimale à long terme. La conception et l’implémentation de systèmes IoT vont venir empiler des protocoles, des couches techniques complexes et des programmes qui souffrent parfois de failles de sécurité. On met ainsi le doigt sur le manque de maturité des standards autour de l’internet des objets et d’un cadre de meilleures pratiques à respecter par les développeurs. Chacun se positionne en effet avec ses interfaces, ses plateformes, ses protocoles et – inévitablement – ses vulnérabilités. »

« Pour parer à cela, Il faudrait commencer par appliquer à l’IoT une approche d’ingénierie basée sur des systèmes sécurisés qui permettrait de simplifier les architectures et de limiter la surface d’attaque. On peut aussi imaginer une sécurité à base de couches de protection afin de sécuriser une infrastructure IoT. »

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.