Aller plus haut, se rapprocher de l'avenir… et voler vos données IoT ?

Les temps ont changé dans le monde merveilleux de l'Internet des objets (IoT). Ce qui était autrefois une idée nouvelle et fascinante a rapidement fait son chemin dans le cœur et l'esprit des consommateurs du monde entier. Qu'il s'agisse de wearables comme le Fitbit ou les trackers pour vaches et animaux de compagnie, ou d'agriculture intelligente, l'IoT s'élève désormais dans le ciel avec l'avènement des drones.

Les objets connectés volants sont essentiellement des drones entièrement équipés de capacités de connectivité réseau. Ils sont une catégorie à part d’appareils intelligents et s'accompagnent d'une multitude de défis. L'un des principaux challenges pour les appareils connectés volant est de maintenir leur sécurité et leur intégrité, qui va bien au-delà de l'utilisation à son insu de l'appareil par une attaque par déni de service distribué (DDoS). En effet, les drones peuvent être utilisés de multiples façons à des fins malveillantes. Par exemple, un pirate peut intercepter les données transmises entre le drone et une station de base. Il pourrait aussi utiliser le drone pour prendre le contrôle physique d'un appareil intelligent et l'utiliser comme porte dérobée sur le réseau d'une entreprise.

Les drones seraient-ils malveillants ?

Si cette proposition semble peu probable, en 2016 des chercheurs de l'Institut des sciences Weizmann en Israël et de l'Université Dalhousie au Canada y sont parvenus. En équipant un drone d'un kit d'attaque autonome, ils ont pu pirater une seule ampoule intelligente. Le piratage s'est rapidement propagé d'une ampoule à toutes les ampoules intelligentes d'un immeuble de bureaux ciblé, en quelques minutes seulement, ce qui leur a permis d'allumer et d'éteindre les lumières du bâtiment. Si une véritable attaque s’était produite, les conséquences auraient pu être bien pires.

Fin 2019, un autre groupe de chercheurs a utilisé un drone DJI pour prendre le contrôle d'une télévision connectée. Là encore, s'il s'était agi d'une véritable attaque, le pirate aurait pu facilement modifier le contenu de l'écran du téléspectateur, afficher des messages de phishing pour obtenir des informations privées comme des mots de passe, ou même utiliser des enregistreurs de clavier pour capturer les pressions de boutons à distance. 

Un intérêt indéniable pour livrer rapidement ... en toute sécurité ?

Malgré les problèmes de sécurité, les drones sont appelés à jouer un rôle de plus en plus important dans des domaines aussi variés que la livraison de colis à domicile, la traque des criminels ou la livraison rapide de fournitures d'urgence, de médicaments et de vaccins. Pour permettre le fonctionnement dans des conditions optimales de ces applications, la sécurité des drones doit être garantie. Cela signifie qu'il faut aborder la question de front plutôt que de la considérer comme une réflexion après coup. Cela commence par la connaissance des vulnérabilités possibles en matière de sécurité. 

Selon l'Open Web Application Security Project (OWASP), les dix principales vulnérabilités de tout dispositif IoT, y compris les drones, sont les suivantes :

  • Les mots de passe faibles, faciles à deviner ou codés en dur 
  • Services réseau non sécurisés 
  • Interfaces d'écosystème non sécurisées 
  • Absence d'un mécanisme de mise à jour sécurisé 
  • Utilisation de composants non sécurisés ou obsolètes 
  • Protection insuffisante de la vie privée 
  • Transfert et stockage de données non sécurisés 
  • Absence de gestion des appareils 
  • Paramètres par défaut non sécurisés 
  • Absence de renforcement physique

Les neuf premières vulnérabilités indiquées peuvent être traitées efficacement par des tests de pénétration (PenTest). Les scanners de force brute, par exemple, peuvent déchiffrer des mots de passe médiocres. Les outils de découverte de services peuvent trouver des dispositifs non sécurisés sur le réseau. En utilisant des éléments tels que les attaques de type "fuzzing", les analyses et les attaques de la couche application et les techniques de validation des communications sécurisées, les utilisateurs de PenTest peuvent tester et trouver des vulnérabilités en matière de cybersécurité dès le début du processus de développement des drones. 

Cybermenaces sur les données volantes 

Cependant, la nature en constante évolution des cyberattaques signifie que même la meilleure solution PenTest peut rapidement devenir obsolète. La meilleure façon d'y remédier est de s'assurer que l'outil de PenTest utilisé est constamment mis à jour par le biais d'un abonnement permanent aux applications et aux renseignements sur les cybermenaces. Le traitement de la dernière vulnérabilité, l'absence de renforcement physique, nécessite une solution physique.

De l'autre côté du spectre, toute entreprise vulnérable à une cyberattaque par drone peut se protéger en utilisant un bon mélange de plusieurs solutions de sécurité pour sécuriser ses réseaux. Malheureusement, il n'est pas facile de trouver la bonne combinaison de solutions, car elles peuvent être difficiles à vérifier ensemble et à mettre à l'échelle. De plus, les interactions entre les solutions peuvent parfois avoir un impact sur les performances de sécurité et la résilience du réseau. 

Pour résoudre ces problèmes, les entreprises doivent rechercher un écosystème de test des applications et de la sécurité facile à utiliser, capable de vérifier la stabilité, la précision et la qualité des réseaux et des périphériques modernes. Idéalement, cet écosystème devrait être capable de simuler le trafic légitime réel, les attaques DDoS, les exploits, les logiciels malveillants et le fuzzing. Un écosystème doté de ces capacités permettra aux entreprises vulnérables de simuler le bon et le mauvais trafic pour valider et optimiser leurs réseaux dans les conditions les plus réalistes.

Comme pour toute nouvelle application IoT, de nombreuses considérations techniques doivent être surmontées pour arriver rapidement sur le marché et satisfaire les clients sur une longue période. Dans le cas des drones, la cybersécurité restera l'une des plus grandes considérations techniques. En intégrant des mesures de sécurité dans les drones dès le début du cycle de conception et en les testant de manière appropriée tout au long du processus de développement, les développeurs peuvent obtenir un avantage bien nécessaire sur les pirates informatiques potentiels. Étant donné que les drones modernes sont essentiellement des ordinateurs dans le ciel, se préparer le plus tôt possible à l'inévitable cyberattaque est le seul moyen de garder une longueur d'avance sur les cybercriminels, tout en profitant pleinement de la technologie IoT aérienne.