Neuf failles de sécurité et des millions d’objets connectés concernés

Neuf failles de sécurité et des milliers d’objets connectés concernés

Un nouveau rapport publié par deux entreprises spécialistes de la cybersécurité, Forescout et JSOF, dévoile neuf failles de sécurité potentiellement dangereuses si elles venaient à être exploitées par des hackers. Selon les chercheurs qui ont réalisé l'étude, plus de 100 millions d’objets connectés à travers le monde pourraient être concernés.


  • En bref : Objets connectés, des failles sécuritaires aux conséquences potentiellement dévastatrices
  • Les chercheurs spécialisés en cybersécurité de Forescout et JSOF ont répertorié neuf failles de sécurité critiques, surnommées « NAME:WRECK » ;
  • Elles menaceraient plus de 100 millions d’objets connectés dans le monde ;
  • Ces failles ont été identifiées au niveau des implémentations DNS de quatre systèmes d’exploitation : FreeBSD, Nucleus NET, IPnet et NetX ;
  • Exploitées par des hackers, ces vulnérabilités pourraient leur permettre de prendre le contrôle des appareils ciblés, voire les rendre inutilisables ;
  • Grâce aux trouvailles des chercheurs, ces failles ont été patchées, mais les versions plus anciennes des systèmes d’exploitation restent vulnérables ;
  • Néanmoins, ce type de problèmes n’est pas rare ou même anodin. Ils sont à la fois une menace pour les particuliers et les professionnels – et tout particulièrement pour les infrastructures de santé.

Objets connectés et sécurité : leur démocratisation est-elle trop rapide ?

Le sujet de la sécurité des données en domotique, pour les particuliers comme pour les professionnels, est essentiel afin de véritablement comprendre les enjeux de l’une des révolutions technologiques les plus importantes de notre siècle. En avril 2021, une étude publiée par deux spécialistes de la cybersécurité, Forescout Research Labs et JSOF Research, est venue apporter de nouvelles informations sur cette problématique.

alt
Si les avantages des objets connectés sont aujourd'hui indéniables, leur utilisation sécurisée devrait être une priorité pour l'ensemble des fabricants.

Ce rapport révèle l’existence de neuf failles de sécurité critiques affectant les objets connectés, nommées « NAME:WRECK » par les chercheurs. À l’ère de la démocratisation de l’Internet des objets – ou IoT – et de la maison intelligente, celles-ci sont donc particulièrement préoccupantes. À travers le monde, les consommateurs sont de plus en plus nombreux à s’équiper, à intégrer de véritables écosystèmes domotiques chez eux.

Si cette popularisation des objets connectés auprès du grand public a évidemment de multiples bénéfices, ces derniers sont rapidement éclipsés par les problèmes de sécurité qui les caractérisent encore trop souvent. L’innovation technologique évolue, semble-t-il, plus rapidement que l'intégration de systèmes de protection adaptés pour garantir leur utilisation dans les meilleures conditions.

Alors, en quoi les révélations du rapport de Forescout Research Labs et JSOF Research sont-elles importantes pour les consommateurs ? Si ces failles de sécurité ne paraissent pas extrêmement répandues à l'échelle mondiale, leurs potentielles conséquences pourraient néanmoins être très dangereuses, en particulier pour le secteur de la santé.

Qui est l'entreprise Forescout Technologies ?Forescout Technologies est une société spécialiste de la sécurité des entreprises dont l’environnement dépend majoritairement de l’innovation connectée. Elle explique ainsi proposer « la seule solution capable de protéger activement l’IoT en entreprise (EoT) à grande échelle ». Le rapport publié en avril 2021 a été réalisé dans le cadre de « Project Memoria », un long travail de recherche entrepris par Forescout concernant les vulnérabilités des piles TCP/IP.

Pourquoi est-il impératif d'œuvrer pour une meilleure cybersécurité ?

Dans le communiqué de presse, les chercheurs à l’origine du rapport détaillent leurs trouvailles, indiquant que ces vulnérabilités touchent quatre piles TCP/IP, soit des protocoles de communication permettant le transfert de données entre différents appareils, ou même sur Internet. Ces failles ont été identifiées au niveau des implémentations du système de noms de domaine – dit DNS – de plusieurs systèmes d’exploitation : FreeBSD, Nucleus NET, IPnet et NetX.

Très concrètement, l’exploitation de ces failles de sécurité donne la possibilité au potentiel hacker de prendre le contrôle à distance des appareils ciblés ou bien de complètement empêcher leur utilisation en les mettant hors ligne.

Les chercheurs estiment que plus de 100 millions d’objets connectés seraient concernés : « Si nous supposons, de manière prudente, que 1 % des plus de 10 milliards de déploiements mentionnés […] sont vulnérables, nous pouvons estimer qu’au minimum 100 millions de dispositifs sont touchés par NAME:WRECK ». Les quatre plateformes impactées ont depuis la publication du rapport effectué des mises à jour pour régler les problèmes identifiés. Néanmoins, il est important d'indiquer que leurs versions précédentes sont encore vulnérables, à savoir : FreeBSD 12.1, Nucleus RTOS 4.3, IPnet VxWorks 6.6 et NetX 6.0.1.

Si la cybersécurité concerne évidemment les particuliers, il s’agit également d’une problématique cruciale pour les entreprises et infrastructures essentielles au fonctionnement de nos sociétés. Dans un monde ultra-connecté, la fragilité sécuritaire de ces organismes comporte de nombreux risques, dont certains peuvent s'avérer extrêmement graves.

Ces considérations sont d’ailleurs de plus en plus présentes dans les discussions publiques, notamment en raison de la multiplication de cyberattaques ces derniers mois. Rien qu’en février 2021, en France, deux hôpitaux, à Dax et Villefranche-sur-Saône, étaient victimes de cyberattaques. C'était aussi le cas de la Mutuelle nationale des hospitaliers – ou MNH. Non seulement l’activité des entités ciblées est stoppée, mais les données stockées sur des serveurs sont également exploitables par les hackers. Selon Forescout et JSOF, les infrastructures de santé seraient parmi les plus touchées par les vulnérabilités sécuritaires identifiées dans le rapport.

alt

Les objets connectés sont une cible facile pour les hackers. En dépit des ajustements et améliorations déployés par les fabricants grâce aux mises à jour régulières, celles-ci ne sont pas nécessairement automatiques. Cela signifie que c’est à l’utilisateur de vérifier que le logiciel de son objet connecté est bien installé dans sa dernière version, et donc qu’il n’est plus concerné par certaines failles sécuritaires. Enfin, pour des objets connectés plus anciens, le problème est qu’ils ne sont tout simplement plus mis à jour, car délaissés par leur fabricant.

« Ces dernières années, les chercheurs ont trouvé un nombre effarant de vulnérabilités dans le code de base qui est au fondement de la manière qu’ont les appareils de communiquer avec Internet », écrit Lily Hay Newman pour Wired. Selon elle, la véritable question « à laquelle les chercheurs tentent de répondre est de savoir comment encourager des changements substantiels, et implémenter des systèmes de protection efficaces » alors que ce type de failles sécuritaires ne cesse d'augmenter.

Domotique et cybersécurité : des vulnérabilités déjà bien connuesEn 2019, un rapport publié par la société Kaspersky avertissait déjà sur les multiples failles touchant certains objets connectés (à différents niveaux : chiffrement, logiciel, système d’autorisation, interface Web, etc.). Au total, l’entreprise avait répertorié quelque 105 millions de cyberattaques sur des objets connectés au premier trimestre de 2019, contre 12 millions en 2018.

Mis à jour le