naar top
Menu
Logo Print
05/10/2018 - SAMMY SOETAERT

LA CYBERSECURITE EST REMISE EN QUESTION PAR L'INTERNET DES OBJETS

cybersecurityEncore beaucoup de points faibles dans la protection des donnees

L'Internet des objets offre de nombreux avantages, mais cette médaille a un revers: la cybersécurité. La sécurité est un aspect trop souvent négligé dans l'IoT. Nous allons nous y intéresser dans cet article. Maintenant que nos appareils sont de plus en plus souvent interconnectés, la cybersécurité est plus importante que jamais. Mais elle est souvent mal gérée. La plus grave erreur? Penser que 'ça n'arrive qu'aux autres'. Les hackers sont partout, leurs mobiles sont divers et les dégâts qu'ils peuvent causer, sont énormes. Le maître-mot est donc la protection, mais elle ne doit pas se limiter à un antivirus et à un pare-feu.

 

HACKING = BIG BUSINESS

cybersecurity
Le J31 chinois est sorti quelques années après le F35 américain et présente des similitudes frappantes

Elle est bien loin, l'époque où les hackers étaient des ados boutonneux qui ne savaient pas quoi faire de leur temps libre. Après un piratage du constructeur d'avions de chasse Lokheed Martin, fabricant du F35 Lightning II Joint Strike Fighter, l'ensemble du processus de production a été exposé. Des documents du lanceur d'alertes Edward Snowden ont révélé que la Chine pouvait être derrière cette attaque. Ajoutons à cela que le Shenyang J21 chinois est sorti quelques années après la présentation du F35.

Un deuxième exemple connu est celui de Stuxnet, l'un des plus célèbres virus du monde industriel. Stuxnet a infecté des implantations tournant sous WinCC et son système SCADA. Même si on n'a jamais très bien su qui était derrière tout ça, ce virus spécifique aurait été conçu pour modifier la vitesse des centrifugeuses dans les réacteurs nucléaires iraniens à l'insu des opérateurs. Deux ans plus tard, l'Iran a à nouveau été touché, cette fois par le virus Flame. Celui-ci était conçu de manière à pouvoir voler des fichiers PDF et des dessins AutoCAD sur des ordinateurs infectés. Le virus a pu agir pendant deux ans avant d'être découvert.

ESPIONNAGE INDUSTRIEL A PLUS PETITE ECHELLE

bedrijfsspionage
Un exemple de rançongiciel, un phénomène qui connaît une forte ascension

Les exemples cités plus haut relèvent plus ou moins de l'espionnage militaire, mais hélas, l'espionnage industriel a aussi le vent en poupe. Le but est de s'emparer de données sensibles afin de copier des machines, entraver le fonctionnement opérationnel pour nuire à la concurrence ou faire du chantage en paralysant le processus de production jusqu'à ce qu'une somme d'argent soit versée. Le récent virus WannaCry est un bon exemple de rançongiciel de ce genre.

L'INTERNET DES OBJETS EST TRES SENSIBLE

Les processus d'exploitation sont très sensibles aux hackers. Beaucoup de ces systèmes tournent encore sur de vieux systèmes d'exploitation datant de l'époque où la cybersécurité n'était pas encore une priorité. A l'époque, les principales préoccupations étaient la facilité d'utilisation, la sécurité de process et l'entière disponibilité. Mais maintenant que ces systèmes sont intégrés dans un système IoT global, communiquant avec des appareils externes, ils sont très vulnérables aux attaques.

HMI, SCADA ET PLC

man in the middle
Avec une attaque ‘man in the middle’, les pirates collectent et envoient des informations depuis votre réseau

Lorsque les PLC ont percé il y a vingt ans, il n'y avait pas le moindre problème. Ils fonctionnaient de manière indépendante et étaient directement placés près de la machine. A l'ère d'Internet, ce n'est plus le cas. Même s'ils fonctionnent encore de manière indépendante, ils peuvent être contaminés via des ports USB ou autres. En outre, beaucoup d'IPC et de HMI tournent sous Windows XP, une version qui n'est plus soutenue par Microsoft. Ils sont donc très vulnérables dans un environnement Internet et cette vulnérabilité peut contaminer l'ensemble du système. Pensons par exemple à une 'Man in the Middle attack', où un appareil externe du hacker se fait passer pour un élément du système et peut ainsi intercepter la communication et même l'influencer à l'insu de l'utilisateur.

REGLES D'OR ANTIPIRATAGE

Utilisation de l'USB

USB hacking
Un USB killer ressemble à une clé USB classique, mais une fois qu’on le branche, il détruit votre carte mère

L'USB a beau être un support extrêmement simple à utiliser, il est une bénédiction pour les utilisateurs malintentionnés qui veulent installer un malware sans se faire remarquer. La facilité et l'évidence avec laquelle nous branchons aujourd'hui des clés USB, n'y sont pas étrangères. Pour en savoir plus à ce sujet, voyez le paragraphe 'le facteur humain constitue le maillon faible'. Les dangers sont variés. Ainsi, on peut acheter librement des 'USB killers'. Ils ressemblent en tous points à une clé USB classique, mais ils ne font qu'une seule chose: se charger entièrement et, dès qu'ils sont à 100%, renvoyer tout le courant d'un coup vers le pilote USB sur la carte mère. Résultat: le PC est détruit, avec toutes les conséquences que ça implique. Un autre exemple est un KeySweeper. Il ressemble à une USB pour une souris sans fil, mais dès qu'on le branche, il récupère toutes les données environnantes passant par des claviers sans fil Microsoft. Si un utilisateur entre certains identifiants et mots de passe, ceux-ci sont automatiquement envoyés à la personne qui a installé le Sweeper. L'idéal est donc de limiter l'utilisation de l'USB et de miser sur la prévention.

Mots de passe

Depuis l'explosion du nombre d'appareils connectés à Internet, le nombre de mots de passe a explosé lui aussi. Souvent, les utilisateurs n'ont que quelques mots de passe pour plusieurs appareils. Et leur efficacité laisse à désirer. Un mot de passe de huit caractères peut être craqué en moins de deux heures. Il convient donc de trouver des mots de passe qui soient suffisamment longs, qui contiennent des chiffres, des majuscules et des chiffres, et qui ne forment pas un mot existant. En outre, les mots de passe doivent être changés régulièrement.

Virus

Les virus peuvent infiltrer les systèmes de toutes sortes de manières. Ici aussi, la protection n'est pas seulement une question de logiciel. Elle dépend aussi (surtout!) du comportement de l'utilisateur. Un bon pare-feu combiné avec un suivi des mises à jour et des patchs est une chose, mais il convient également d'expliquer aux travailleurs qu'il faut toujours être prudent, lorsqu'on clique sur un lien. Il est également recommandé d'établir des droits d'accès. En effet, il arrive souvent que les employés de tous les échelons aient accès à toutes les données, alors qu'ils ne sont pas conscients des conséquences que peut avoir un simple clic.

cybersecurity
Une attaque où un inconnu accède à votre système SCADA

Pare-feu

Les pare-feu devraient être standard, tant pour l'ensemble du système que pour chaque appareil raccordé. Doter uniquement le système général d'un pare-feu et pas les appareils séparés équivaut à barricader sa porte d'entrée en laissant la porte arrière grande ouverte. Les inconvénients sont le surcoût et un ralentissement possible sur le système. Dans le cas d'applications critiques, on peut aussi installer des pare-feu de plusieurs fabricants afin qu'ils offrent une protection supplémentaire. Soyez donc conscients qu'il existe plusieurs types de pare-feu.

Gestion des déchets

Une chose que l'on néglige souvent, est le flux de déchets physiques. On connaît plusieurs cas de piratage de données où les informations sensibles ont été trouvées dans le container de l'entreprise. Il peut s'agir de papier qui n'a pas été passé à la déchiqueteuse, mais aussi de cartes mères qui ont été jetées sans destruction préalable des supports de données.

Cloud

En ce qui concerne le cloud, c'est clair: ne l'utilisez pas pour stocker des informations critiques, même si c'est tentant. Si vous voulez vraiment le faire, prévoyez au moins un encryptage et une bonne gestion du mot de passe.

Mobile devices

A un moment, le mot d'ordre était 'Bring Your Own Device': les employés pouvaient effectuer des actions pour l'entreprise avec leur propre ordinateur portable ou smartphone. Pratique, bon marché et efficace, mais un véritable cauchemar pour la cybersécurité! Il en va ici comme pour le cloud: à éviter pour les données critiques.

Identification

La protection des données signifie aussi la protection des salles de serveurs et des postes de travail propres à l'entreprise contre une intrusion potentielle. Ici, il faut absolument une identification infaillible. Ce ne serait pas la première fois qu'un piratage aurait lieu de manière imperceptible, parce qu'un 'électricien' viendrait soi-disant effectuer des travaux urgents dans la salle des serveurs. Les systèmes de badge avec accès limité pour chaque personne sont donc indispensables, avec un système d'enregistrement supplémentaire pour les visiteurs et les fournisseurs. Ici aussi, il est crucial de conscientiser le personnel: apprenez-leur à interpeller des personnes qui ne peuvent pas présenter l'identification requise, montrez-leur les points faibles dans leur département.

LE FACTEUR HUMAIN EST LE MAILLON LE PLUS FAIBLE

cybersecurity
Depuis que les systèmes de production sont raccordés à Ethernet, ils sont sensibles aux cyberattaques

La cybersécurité va beaucoup plus loin que l'installation d'un antivirus standard avec un pare-feu. Le maillon faible dans la sécurité se révèle quasi toujours être le facteur humain, comme le montre l'exemple qui va suivre. Récemment, un industriel belge a effectué un test détaillé auprès de ses travailleurs. Le thème était la cybersécurité. Trois 'cybertests' secrets ont été effectués. Pour le premier, tous les travailleurs ont reçu un mail 'interne' du service IT leur demandant de communiquer leur mot de passe et leurs identifiants à la suite d'un prétendu black-out dans le système. Le mail en question ne provenait pas d'une adresse interne, mais présentait la même mise en pages, la même police, le même en-tête et les mêmes bannières. 41% des travailleurs ont fait ce qui leur avait été demandé. Pire encore: après avoir annoncé qu'il s'agissait d'un test, on a demandé à ces 41% de modifier le mot de passe qu'ils avaient divulgué … après une semaine, 34% d'entre eux ne l'avaient pas encore fait!

Un deuxième test portait sur l'utilisation de clés USB. Ce test a consisté à laisser traîner de manière aléatoire 36 clés USB dans l'entreprise: dans des salles de réunion, 'laissées par inadvertance' à la réception, sur une table de réfectoire, dans un bac de l'entrepôt. Ces clés USB contenaient un programme qui envoyait automatiquement un message au service IT, dès qu'on les branchait. Au bout d'un mois, 24 de ces clés USB ont été branchées au moins une fois. Le troisième test consistait à refuser l'accès à des personnes étrangères. A plusieurs reprises, un acteur a tenté de pénétrer dans le bâtiment avec des travailleurs, alors qu'il n'avait pas de badge d'accès. Dans certains cas, il est tout simplement entré avec quelqu'un au début de la journée de travail. Ou il nouait une discussion dans l'espace fumeurs pour ensuite pénétrer dans le bâtiment sous un prétexte fallacieux. Dans une autre situation, il s'est carrément présenté déguisé comme un ouvrier d'un fournisseur. Dans un peu plus de la moitié des cas, il est arrivé à passer sans problème le premier contrôle. On connaît même un cas extrême de piratage de serveurs où le pirate a attendu les vacances annuelles du conseiller en prévention pour tenter sa chance sous le prétexte d'un exercice d'évacuation en invoquant une personne grièvement blessée dans la salle des serveurs. Pour la faire courte: la grande majorité des piratages sont rendus possibles par des actions humaines (ou l'absence d'actions humaines). Par conséquent, une bonne protection contre les cyberattaques commence par une conscientisation sur le terrain.

RETOURNER MON FAVORI