Les esprits criminels du dark web voient l’IoT comme le prochain grand prix du piratage

Krisanapong Détraphiphat | moment | Getty Images

John Hultquist, vice-président de l’analyse du renseignement chez Mandiant, société de cybersécurité appartenant à Google, compare son travail à l’étude des esprits criminels à travers une paille de soda. Il surveille les groupes de cybermenaces en temps réel sur le dark web, observant ce qui équivaut à un marché libre d’innovations criminelles en flux et en reflux.

Les groupes achètent et vendent des services, et une idée brûlante – un modèle commercial pour un crime – peut décoller rapidement lorsque les gens se rendent compte que cela fonctionne pour causer des dommages ou pour faire payer les gens. L’année dernière, il s’agissait d’un rançongiciel, car des groupes de piratage criminel ont découvert comment arrêter les serveurs par ce qu’on appelle des attaques par déni de service dirigé. Mais 2022, selon les experts, a peut-être marqué un point d’inflexion en raison de la prolifération rapide des appareils IoT (Internet des objets).

Les attaques évoluent, passant de celles qui éteignent les ordinateurs ou volent des données, à celles qui pourraient plus directement faire des ravages dans la vie quotidienne. Les appareils IoT peuvent être les points d’entrée d’attaques contre des parties d’infrastructures critiques d’un pays, comme les réseaux électriques ou les pipelines, ou ils peuvent être la cible spécifique de criminels, comme dans le cas de voitures ou d’appareils médicaux contenant des logiciels.

“Ce que je souhaite, c’est que les vulnérabilités de la cybersécurité ne puissent jamais affecter négativement la vie humaine et les infrastructures”, déclare Meredith Schnur, responsable du courtage en ligne pour les États-Unis et le Canada chez Marsh & McLennan, qui assure les grandes entreprises contre les cyberattaques. “Tout le reste n’est que du business.”

Au cours de la dernière décennie, les fabricants, les éditeurs de logiciels et les consommateurs se sont précipités sur la promesse des appareils Internet des objets. Aujourd’hui, il y en a environ 17 milliards dans le monde, des imprimantes aux ouvre-portes de garage, chacun contenant des logiciels (dont certains sont des logiciels open source) qui peuvent être facilement piratés. Lors d’une conversation le 26 décembre avec le Financial Times, Mario Greco, le PDG du groupe d’assurance géant Zurich Insurance Group, a déclaré que les cyberattaques pourraient constituer une menace plus importante pour les assureurs que les pandémies et le changement climatique, si les pirates informatiques visent à perturber des vies, plutôt que de simplement espionner. ou voler des données.

Selon le rapport 2022 de Microsoft sur la défense numérique, les appareils IoT sont un point d’entrée clé pour de nombreuses attaques. “Alors que la sécurité du matériel et des logiciels informatiques s’est renforcée ces dernières années, la sécurité de l’Internet des objets (IoT)… n’a pas suivi le rythme”. selon le rapport.

Une série d’attaques qui ont atteint le monde physique via le cybermonde au cours de l’année écoulée montrent les enjeux croissants. En février dernier, Toyota a arrêté les opérations dans l’une de ses usines à cause d’une cyberattaque. En avril, le réseau électrique ukrainien a été pris pour cible. En mai, le port de Londres a été victime d’une cyberattaque. Cela faisait suite à une année 2021 qui comprenait des attaques majeures contre des infrastructures critiques aux États-Unis, détruisant les opérations d’approvisionnement énergétique et alimentaire de Colonial Pipeline et du conglomérat de conditionnement de viande JBS.

Ce que de nombreux experts anticipent, c’est le jour où des criminels entreprenants ou des pirates informatiques affiliés à un État-nation trouveront un schéma facile à reproduire utilisant des appareils IoT à grande échelle. Un groupe de criminels, peut-être liés à un gouvernement étranger, pourrait comprendre comment prendre le contrôle de plusieurs choses à la fois, comme des voitures ou des appareils médicaux. “Nous avons déjà vu des attaques à grande échelle utilisant l’IoT, sous la forme de botnets IoT. Dans ce cas, les acteurs exploitant des vulnérabilités non corrigées dans les appareils IoT ont utilisé le contrôle de ces appareils pour mener des attaques par déni de service contre de nombreuses cibles. Ces vulnérabilités sont trouvées régulièrement dans des produits omniprésents qui sont rarement mis à jour.”

En d’autres termes, la possibilité existe déjà. C’est seulement une question de savoir quand un criminel ou une nation décide d’agir d’une manière qui cible le monde physique à grande échelle. “Ce n’est pas toujours l’art du possible. C’est une chose axée sur le marché”, a déclaré Hultquist. “Quelqu’un trouve un stratagème qui réussit à gagner de l’argent.”

En plus de réagir rapidement aux attaques, la seule réponse au “jeu du chat et de la souris” est l’innovation constante, déclare Shlomo Kramer, l’un des premiers investisseurs de Palo Alto Networks et actuellement l’un des principaux investisseurs mondiaux dans le domaine de la cybersécurité.

Il existe une poignée d’entreprises, de nouvelles approches réglementaires, une concentration croissante sur les voitures en tant que domaine particulièrement important et un nouveau mouvement dans le monde du génie logiciel pour mieux intégrer la cybersécurité dès le départ.

Internet des objets a un gros problème de mise à jour

L’industrie de la cybersécurité améliore son jeu. Des entreprises telles que ForeScout et Phosphorus se concentrent sur la sécurité de l’Internet des objets, qui met fortement l’accent sur l’inventaire constant des «points de terminaison» – où de nouveaux appareils se connectent à un réseau.

Mais l’un des problèmes clés de la sécurité de l’Internet des objets est qu’il n’existe pas de bon processus de mise à jour des appareils avec des correctifs, à mesure que de nouvelles vulnérabilités, piratages ou attaques sont découverts, déclare Greg Clark, ancien PDG de Symantec, actuellement président de Forescout. . De nombreux utilisateurs ont l’habitude de télécharger des mises à jour et des correctifs sur des ordinateurs et des téléphones ; et même dans ces cas, un nombre important d’utilisateurs ne prennent pas la peine de faire les mises à jour.

Le problème est bien pire dans l’IoT : par exemple, qui prend la peine de mettre à jour son ouvre-porte de garage ? “Peu d’appareils IoT disposent d’un système pour mettre à jour le code”, explique Clark. “Cela devient un problème sérieux de remédier aux vulnérabilités de l’IoT.”

Il a déclaré que l’un des objectifs des entreprises de cybersécurité était de mettre des contrôles autour des appareils afin qu’ils ne puissent faire qu’un ensemble spécifique de choses. De cette façon, les appareils ne peuvent pas être armés pour lancer des attaques sur d’autres réseaux. “Il y a beaucoup de marteaux qui se balancent”, a déclaré Clark, sur les produits qui rendent l’IoT plus sûr).

Les dispositifs médicaux, considérés comme particulièrement importants et particulièrement vulnérables, font l’objet d’une attention particulière. Le mois dernier, Palo Alto Networks a annoncé un nouveau produit destiné aux fabricants de dispositifs médicaux.

Les fabricants d’appareils IoT ne sont pas suffisamment réglementés

Parce que les défis sont nouveaux et intersectoriels, les directives et réglementations américaines restent disparates. Cela a laissé une grande partie de la cybersécurité IoT aux consommateurs et aux entreprises de tous les secteurs, plutôt qu’aux nombreux fabricants fabriquant des appareils IoT.

“J’espère qu’il y aura de nouvelles normes et de nouvelles réglementations qui obligeront les fournisseurs à en faire plus”, déclare Randy Trzeciak, directeur du programme de gestion et de politique de l’information scientifique et de la sécurité à l’Université Carnegie Mellon. “Il devrait y avoir une discussion nationale sur l’assurance de la sécurité des appareils et sur les domaines où le fabricant doit s’approprier et assumer la responsabilité.”

Clark a déclaré que la CISA et les National Institutes of Standards and Technology travaillent ensemble, publiant des directives pour les milliers de fabricants qui fabriquent des appareils IoT couvrant des choses telles que la garantie que les appareils IoT s’identifient aux réseaux au fur et à mesure qu’ils y sont ajoutés. En 2020, le Congrès américain a transformé les directives en loi, mais uniquement pour les entreprises qui fournissent au gouvernement américain des appareils IoT. Un porte-parole des National Institutes of Standards and Technology a déclaré qu’il s’agissait de la seule loi nationale connue de l’agence. Certaines lois spécifiques à l’État et à l’industrie existent également : par exemple, les données contenues dans les dispositifs médicaux seraient couvertes par la HIPAA, et la National Highway Traffic Safety Administration a une certaine compétence sur les voitures.

Certains investisseurs et dirigeants accueillent avec prudence l’implication croissante des régulateurs. “C’est tout simplement trop complexe”, a déclaré Kramer. “Il n’y a pas assez de personnel de sécurité qualifié et expérimenté.”

Comment les voitures sont ciblées

Alors que de plus en plus de pirates informatiques visent la sphère physique, les voitures sont une cible. Cela inclut le vol, les attaquants exploitant les systèmes d’entrée sans clé, mais également les attaques contre les informations sensibles actuellement stockées dans les voitures, telles que les cartes et les données de carte de crédit.

Dirigés par l’Union européenne, les pays du monde entier adoptent rapidement des réglementations en matière de cybersécurité pour les voitures, l’UE étant entrée en vigueur en juillet de l’année dernière.

La transition vers les véhicules électriques a créé une opportunité pour les régulateurs de devancer les criminels. Au fur et à mesure que la nouvelle technologie a abaissé les barrières à l’entrée, davantage de constructeurs automobiles sont entrés sur le marché. À son tour, cela a créé une opportunité pour les régulateurs de travailler avec des groupes industriels qui souhaitent protéger leurs industries locales.

Les préoccupations concernant les voitures ne sont pas nouvelles. Lors d’une expérience marquante en 2015, deux pirates ont attaqué une Jeep Cherokee. “Ils ont coupé le moteur sur l’autoroute – les freins n’ont pas répondu. Ce n’est pas une situation agréable”, a déclaré David Barzilai, PDG d’une société israélienne de six ans appelée Karamba Security, qui aide les constructeurs automobiles à faire leur IdO. appareils plus sécurisés.

Barzilai dit qu’au cours des 12 derniers mois, il y a eu des dizaines d’attaques, à la fois par des gangs criminels sérieux et des adolescents. “Lorsque nous avons commencé il y a six ans, les attaques étaient menées par des États, principalement la Chine”, dit-il. “Au cours des 12 derniers mois, il y a eu une démocratisation” des attentats à la voiture, a-t-il dit, pointant le cas en janvier 2022 de l’adolescent qui a compris comment accéder aux systèmes de contrôle de quelques dizaines de Teslas à la fois, en janvier dernier – a déjà Fini.

Les voitures connectées ont généralement des cartes SIM, que les pirates peuvent attaquer via les réseaux cellulaires, a-t-il déclaré. “Toutes les voitures du même modèle de véhicule utilisent le même logiciel”, a-t-il déclaré. “Une fois que les pirates ont identifié une vulnérabilité et un moyen de l’exploiter à distance, ils peuvent répliquer l’attaque sur d’autres véhicules.”

La cybersécurité s’est développée en tant qu’industrie principalement comme une tentative après coup de réparer des logiciels et du matériel qui étaient depuis longtemps sur le marché, alors que des criminels et des gouvernements étrangers découvraient des vulnérabilités dans les systèmes qu’ils pouvaient exploiter. Une étude du System Science’s Institute d’IBM a révélé qu’il en coûte six fois plus pour corriger une vulnérabilité de cybersécurité pendant la mise en œuvre d’un logiciel que lorsqu’il est en cours de développement. L’IdO est encore relativement nouveau en tant qu’industrie, donnant aux développeurs soucieux de la sécurité une chance de devancer le jeu du chat et de la souris, dit Trzeciak, et il y a un mouvement croissant de chercheurs et de développeurs travaillant sur ce sujet, y compris le génie logiciel de Carnegie Mellon L’initiative DevSecOps de l’Institut, qui vise à renforcer la sécurité dans les premières phases du développement logiciel. Cette innovation basée sur les processus pourrait rendre tous les types de logiciels, y compris ceux des voitures et des appareils médicaux, plus sûrs – et donc, les appareils plus sûrs.

Laisser un commentaire