« Les failles que nous avons identifiées dans deux des principaux protocoles de messagerie utilisés par des appareils IoT devraient inciter les entreprises à réévaluer sérieusement la sécurité globale de leur environnement OT », déclare Loïc Guézo, Stratégiste Cybersécurité Europe du Sud, Trend Micro. « Ces protocoles n’ont pas été conçus dans une optique de sécurité, mais ils sont de plus en plus présents au sein d’environnements critiques et de cas d’application. Cela représente un risque de cyber-sécurité majeur. Même sans disposer de ressources importantes, les hackers pourraient exploiter ces failles et vulnérabilités pour procéder à des opérations de reconnaissance, des mouvements latéraux, des vols de données clandestins et des attaques par déni de service. »
L’étude démontre comment les hackers peuvent contrôler à distance les Endpoints IoT ou provoquer des dénis de service en exploitant des problèmes de sécurité aux stades de la conception, de l’implémentation et du déploiement d’appareils utilisant ces protocoles. Par ailleurs, en s’appropriant certaines fonctionnalités spécifiques de ces protocoles, les cybercriminels pourraient avoir accès en permanence à une cible qu’ils pourraient déplacer latéralement au sein d’un réseau.
Cette étude a également permis d’identifier plusieurs vulnérabilités dévoilées par le programme Zero Day Initiative (ZDI) de Trend Micro : CVE-2017-7653, CVE-2018-11615, et CVE-2018-17614. Exemple représentatif des conséquences possibles de ces vulnérabilités, CVE-2018-17614 est une écriture hors-limites qui pourrait permettre à un hacker d’exécuter un code arbitraire sur des appareils vulnérables déployant un client MQTT. Alors qu’aucune nouvelle vulnérabilité CoAP n’a été établie, le rapport souligne que le CoAP est basé sur le protocole UDP (User Datagram Protocol) et suit un modèle de requête-réponse, ce qui le rend particulièrement exposé aux attaques par amplification.
Pour limiter les risques mis en lumière dans cette étude, Trend Micro appelle les entreprises à :
- Mettre en place des mesures adaptées en vue de supprimer les services M2M inutiles
- Procéder à des contrôles réguliers à l’aide de technologies d’analyse déployées à l’échelle du Web pour empêcher la divulgation de données sensibles via des services IoT publics
- Mettre en œuvre un workflow de gestion des vulnérabilités ou d’autres dispositifs en vue de sécuriser la chaîne logistique
- Se mettre régulièrement en conformité avec les normes sectorielles, cette technologie évoluant rapidement