Internet des objets : quand les électroménagers deviennent la cible de cyberattaques

Avec une prévision de pas moins de 20 milliards de dispositifs connectés à Internet en 2020, l’Internet des objets est là pour rester. Bien que ses effets positifs s’avèrent incontestables, il n’en demeure pas moins que les menaces et les risques associés sont multiples et évoluent très rapidement.

C’est pourquoi l’ENISA (Agence européenne pour la sécurité des réseaux et de l’information) et Europol se sont alliées pour faire face à ses défis de sécurité aux côtés de partenaires du secteur privé, de la communauté de sécurité et de la police, de l’équipe de réponse aux incidents de sécurité informatique (CSIRT), du public et de l’école de police.

L’Internet des objets est un vaste écosystème, très diversifié, où les dispositifs et les services interconnectés collectent, échangent et traitent des données pour s’adapter dynamiquement à un contexte. Ce qui fait que nos caméras, téléviseurs, machines à laver et systèmes de chauffage deviennent « intelligents » et créent de nouvelles opportunités dans notre manière de travailler, d’interagir et de communiquer, tandis que les dispositifs réagissent et s’adaptent à nous.

Il est important de bien comprendre la nécessité de sécuriser ces dispositifs et développer et implanter des mesures de sécurité adéquates pour protéger l’Internet des objets contre les menaces cybernétiques. Au-delà des mesures techniques, l’adoption de l’Internet des objets a entraîné de nombreux défis juridiques et réglementaires, qui sont tout nouveaux et dont la portée est vaste et complexe. Pour affronter ces défis, la coopération entre différents secteurs et différents acteurs est fondamentale.

Afin de garantir pleinement les nombreux avantages de l’Internet des objets, le travail d’Europol s’associe à la volonté de tous les acteurs internationaux concernés pour aborder les défis liés à la sécurité et à la lutte contre l’utilisation illégale de ces dispositifs et faire en sorte que le cyberespace soit un lieu plus sûr en tout :

  • Il faut davantage de coopération et de participation de multiples groupements d’intérêts pour aborder l’interopérabilité ainsi que les problèmes de sécurité, notamment par le développement émergent de l’industrie 4.0, les véhicules autonomes et l’arrivée du 5G.
  • Vu que sécuriser le dispositif final peut s’avérer techniquement difficile et coûteux, il faut donc envisager de sécuriser l’architecture et l’infrastructure sous-jacente en créant un climat de confiance et de sécurité sur différents réseaux et domaines.
  • Il est nécessaire de créer des motivations plus fortes pour aborder les problèmes de sécurité liés à l’Internet des objets. Il faut donc trouver un équilibre optimal entre l’opportunité et le risque dans un marché où prédominent la grande évolutivité et le facteur temps en positionnant la sécurité comme un avantage commercial différenciateur.
  • Pour enquêter efficacement sur la criminalité associée à l’Internet des objets, la dissuasion est aussi un aspect qui exige une étroite coopération entre l’application de la loi, la communauté CSIRT, la communauté de sécurité et le pouvoir judiciaire.
  • Cela crée une urgence dans l’application de la loi afin de développer les capacités techniques et l’expérience nécessaire pour mener à bien la lutte contre la cybercriminalité associée à l’Internet des objets.
  • Ces efforts doivent être complétés par la sensibilisation des utilisateurs finaux quant aux risques de sécurité des dispositifs.
  • En mettant à profit les initiatives et cadres existants, il faut opérer une approche multidisciplinaire combinant et complétant les actions sur le plan législatif, régulateur et politique ainsi que technique afin de sécuriser l’écosystème de l’Internet des objets.

https://notesdeseguretat.blog.gencat.cat/2017/07/24/quines-son-les-principals-amenaces-i-tendencies-de-la-delinquencia-a-internet/

_____

Aquest apunt en català / Esta entrada en español / This post in English

 

 

 

 

 

 

Les défis de sécurité de l’Internet des objets

Notre monde est désormais hyperconnecté. Selon les estimations actuelles, il y aurait quelques 10 milliards de dispositifs électroniques avec accès à Internet et le nombre d’utilisateurs devrait doubler d’ici 2020. Outre les nombreux avantages et opportunités, on a aussi créé la capacité émergente des dispositifs connectés d’avoir un impact sur le monde physique, avec une nouvelle série de vulnérabilités et de possibilités d’exploitation pour les criminels.

Pour faire face à ces vulnérabilités, les combattre efficacement et comprendre l’énorme potentiel que cela comporte, ENISA et Europol ont réuni en octobre dernier près de 300 experts du secteur privé, de la communauté de sécurité, des services chargés de l’application de la loi, de la communauté européenne des centres de réponse aux urgences informatiques (CSIRT) et du monde académique.

Parmi les conclusions issues de ces journées, soulignons les points suivants :

  • La sécurité ne devrait pas faire l’objet d’une réflexion postérieure au développement de systèmes et les systèmes de l’Internet des objets – IoT (Internet of Things) pour son sigle en anglais – n’y font pas exception.
  • L’implantation de la sécurité ne doit pas être compliquée.
  • Les forces de police doivent être à même d’aller au-delà de la réponse de défense et d’urgence, moyennant la possibilité d’enquêter et de poursuivre les criminels qui abusent des dispositifs connectés.
  • Il faut parler de criminalistes numériques pour ce qui est de l’IoT et de l’importance de la protection des données et de la confidentialité, compte tenu de la quantité et des différentes catégories de données collectées par l’IoT.
  • L’IoT offre un grand potentiel et de grandes opportunités pour améliorer notre manière d’interagir.
  • En 2019 et au-delà, il faudra promouvoir des solutions de sécurité holistiques, pragmatiques, pratiques et économiquement viables et prendre en compte l’ensemble de l’écosystème de l’IoT.

L’IoT offre de nombreux avantages sur le plan policier, en tant que nouvel outil pour lutter contre le crime. La police utilise déjà des dispositifs connectés tels que caméras intelligentes pour les grands événements et pour lutter contre le vol, capteurs installés sur les armes à feu pour enregistrer le moment et la fréquence de leur utilisation, etc. Il est important que les services d’application de la loi investissent aussi dans la sécurité de leurs dispositifs connectés à l’IoT pour protéger la confidentialité des individus pour lesquels ils travaillent.

Les scènes de crime changent à cause de l’IoT : les données des portes, caméras, thermostats, réfrigérateurs, etc., peuvent fournir des preuves utiles et cruciales. Les techniques et la formation criminalistiques nécessaires devront être utilisées pour sauvegarder ces données. Les grandes données collectées par les dispositifs IoT, notamment pour la reconnaissance faciale des images caméra après un incident important, feront partie intégrante d’une enquête criminelle mais elles requièrent aussi les moyens nécessaires pour protéger la confidentialité des individus.

https://notesdeseguretat.blog.gencat.cat/2017/11/27/internet-des-objets-quand-les-electromenagers-deviennent-la-cible-de-cyberattaques/

_____

Aquest apunt en català / Esta entrada en español / This post in English

 

L’Internet des corps, l’évolution de l’Internet des objets

Nous avons publié sur ce blog plusieurs articles et références sur la sécurité liée à l’Internet des objets. Le centre de terminologie de la langue catalane Termcat définit ce concept comme le « réseau formé d’un ensemble d’objets connectés à Internet qui peuvent communiquer entre eux, mais aussi avec des humains, et ainsi transmettre et traiter des données avec ou sans intervention humaine ». Certains de ces objets et dispositifs connectés ont pour fonction de capter et de traiter des données ou informations relatives au corps humain et d’en faire le suivi. Ils constituent ce que l’on appelle l’Internet des corps (en anglais : the Internet of bodies ou IoB).

La plupart de ces dispositifs sont liés à la santé. D’un côté, on trouve les dispositifs relatifs aux activités médicales, utilisés de manière temporaire (par exemple, des pilules qui captent et transmettent des informations de l’intérieur du corps) ou permanente (comme les dernières générations de stimulateurs cardiaques). De l’autre, on trouve les wearables. Ces objets technologiques à porter sur soi sont de plus en plus présents dans notre vie quotidienne. Il s’agit, par exemple, de montres ou bracelets intelligents qui enregistrent l’activité physique ou la fréquence cardiaque, de lits qui mesurent la respiration, de balances qui enregistrent, entre autres valeurs, le poids et la proportion de graisse ou d’eau dans le corps, ou encore de vêtements qui permettent de réguler la température corporelle. [1]

À l’automne 2020, Rand Corporation a publié une enquête sur les opportunités, les risques et la gouvernance concernant ces dispositifs. Cette enquête examine, d’une part, les avantages, les risques liés à la sécurité et au respect de la vie privée et les répercussions éthiques qu’implique l’Internet des corps. D’autre part, elle s’intéresse à la réglementation concernant l’Internet des corps et les données collectées par ces dispositifs aux États-Unis. Enfin, elle propose des solutions pour réduire les risques et optimiser les avantages de l’Internet des corps.

En ce qui concerne les risques liés au respect de la vie privée, il est difficile de savoir exactement qui peut avoir accès aux données et quelle utilisation peut en être faite. Quant aux risques liés à la sécurité, ils seraient équivalents à ceux d’autres dispositifs de l’Internet des objets. Par exemple, le fait que des personnes non autorisées accèdent au dispositif représente une vulnérabilité. Cependant, dans le cas des dispositifs portés sur le corps humain, les dangers potentiels, les dommages ou les conséquences découlant d’une telle vulnérabilité seraient beaucoup plus importants.

En raison de la croissance et du développement rapides de ces nouvelles technologies, il reste encore à élaborer une nouvelle réglementation, ou à définir comment appliquer ou adapter la réglementation existante. De plus, les développeurs et les fabricants réalisent un grand travail de sensibilisation afin de minimiser ou d’éliminer les vulnérabilités potentielles des appareils.

Pour plus d’informations :

The Internet of Bodies Will Change Everything, for Better or Worse. – https://www.rand.org/blog/articles/2020/10/the-internet-of-bodies-will-change-everything-for-better-or-worse.html

The Internet of Bodies. Opportunities, Risks, and Governance https://www.rand.org/pubs/research_reports/RR3226.html

[1] Les dispositifs de l’Internet des corps peuvent également être classés en trois générations : la première se composerait des dispositifs sur la surface du corps, la deuxième, des dispositifs à l’intérieur du corps, et la troisième, des dispositifs fusionnés avec le corps.

_____

Aquest apunt en català / Esta entrada en español / This post in English

Le Conseil européen adopte des conclusions sur l’avenir numérique de l’Europe

En décembre 2020, le Conseil européen a adopté des conclusions reconnaissant l’utilisation accrue de produits de consommation et de dispositifs industriels connectés à Internet et les risques que cela représente pour la vie privée, la sécurité de l’information et la cybersécurité.

Il estime que les dispositifs connectés, notamment les machines, les capteurs et les réseaux qui composent l’Internet des objets, joueront un rôle clé dans le façonnement de l’avenir numérique de l’Europe.

Les conclusions définissent les priorités pour traiter cette question cruciale et promouvoir la compétitivité mondiale de l’industrie européenne de l’Internet des objets en assurant le plus haut niveau de résilience, de sécurité et de protection.

Les conclusions soulignent l’importance d’évaluer si une législation horizontale à long terme est nécessaire afin de traiter toutes les questions liées à la cybersécurité des dispositifs connectés, telles que la disponibilité, l’intégrité et la confidentialité, ce qui impliquerait également de préciser les conditions requises pour leur commercialisation.

Parmi les différentes conclusions, on peut citer les suivantes :

  • L’Union européenne et ses États membres doivent garantir la souveraineté numérique et l’autonomie stratégique, tout en préservant une économie ouverte.
  • En plus de garantir un niveau élevé de sécurité pour les dispositifs connectés, il est également important de sensibiliser les consommateurs aux risques que ces dispositifs peuvent créer en matière de sécurité et de protection de la vie privée.
  • Il faut que des normes, des critères ou des spécifications techniques de cybersécurité soient établis pour les dispositifs connectés et il est nécessaire de renforcer le travail des organisations européennes de normalisation dans ce domaine.
  • La cybersécurité et le respect de la vie privée doivent être considérés comme des exigences essentielles dans l’innovation de produits, ainsi que dans les processus de production et de développement, y compris la phase de conception, et ces exigences doivent être garanties tout au long du cycle de vie du produit et de la chaîne d’approvisionnement.

Enfin, la certification en matière de cybersécurité, qui est définie dans le règlement sur la cybersécurité, sera essentielle pour accroître le niveau de sécurité sur le marché unique numérique. L’ENISA, l’Agence de l’Union européenne pour la cybersécurité travaille déjà sur des systèmes de certification en matière de cybersécurité, et les conclusions invitent la Commission à envisager de demander des propositions de systèmes de certification en matière de cybersécurité pour les dispositifs connectés et les services connexes.

_____

Aquest apunt en català / Esta entrada en español / This post in English

2017, l’année où la cybercriminalité s’accélère

Entre fin 2016 et, en grande part, l’année 2017, il s’est produit une vague d’attaques cybernétiques sans précédent au niveau mondial, de par leur impact et leur degré de propagation. Elles suscitent une grande inquiétude publique, d’autant plus qu’elles ne sont qu’un petit échantillon parmi l’infinité de menaces cybernétiques existant aujourd’hui.

L’évaluation de la menace de criminalité organisée sur Internet (IOCTA) d’Europol identifie les principales menaces de cybercriminalité et donne des conseils clé pour faire face à ces défis.

L’évaluation de la menace de criminalité organisée sur Internet en 2017 offre une étude approfondie des événements clé, des changements et des menaces émergentes de cybercriminalité au cours de l’année dernière. Celle-ci s’appuie sur la contribution des États membres de l’UE, du personnel expert d’Europol et de partenaires de l’industrie privée des secteurs financier et académique. Le rapport met l’accent sur les événements les plus importants dans plusieurs domaines de cybercriminalité :

  • Ransomware (logiciel malveillant de rançonnage) a éclipsé la plupart des autres cyberattaques lors de campagnes mondiales frappant aléatoirement ses victimes dans différents secteurs industriels et privés.
  • Les premières attaques sérieuses se sont produites par botnets (logiciels malveillants) utilisant des dispositifs d’Internet des Objets (IdO) infectés.
  • Les filtrages de données continuent à propager de grandes quantités d’informations, avec plus de 2 milliards de dossiers associés à des citoyens de l’UE, rendus publics sur une période de 12 mois.
  • Le Darknet reste un espace transversal clé favorisant la criminalité dans différents domaines. Il donne accès, entre autres choses, à l’offre de médicaments et de nouvelles substances psychoactives ; à la vente d’armes à feu utilisées dans des attentats terroristes ; à des données de paiement pour commettre toute sorte de fraudes ; et à de faux documents utilisés pour l’escroquerie, la traite des êtres humains et l’immigration illégale.
  • Les criminels utilisent à outrance le Darknet et autres plateformes en ligne pour partager et distribuer des contenus liés à l’exploitation sexuelle des enfants et y participer avec des victimes potentielles, bien souvent en essayant de contraindre et racketter sexuellement des mineurs vulnérables.
  • La fraude au paiement affecte presque toutes les industries et les secteurs les plus touchés sont la vente au détail, l’aéronautique et le logement.
  • Les attaques directes aux réseaux bancaires visant à manipuler des soldes de cartes de crédit, prendre le contrôle de distributeurs automatiques de billets ou virer des fonds directement, que l’on qualifie d’intrusions aux systèmes de paiement, constituent l’une des menaces émergentes dans ce domaine.

Malgré la recrudescence des menaces et des défis, on a assisté l’année dernière à quelques succès opérationnels importants dont le démantèlement de deux des grands marchés du Darknet, AlphaBay et Hansa, la neutralisation du réseau Avalanche ou encore l’action mondiale contre les fraudeurs aériens.

L’IOCTA se veut proposer une série de recommandations pour l’application de la loi et pour planifier en conséquence une réponse efficace et concertée à la criminalité cybernétique.

  • L’application de la loi doit continuer à cibler les acteurs qui développent et fournissent des outils et des services d’attaques cybercriminelles responsables de ransomware, trojans bancaires et autres logiciels malveillants et les fournisseurs d’outils d’attaques DDOS, services antirétroviraux et botnets.
  • La communauté internationale doit continuer à encourager des rapports de confiance avec des partenaires publics et privés, des communautés de sécurité CERT, etc., pour être à même de fournir une réponse rapide et coordonnée face à une attaque cybernétique mondiale.
  • Les États membres de l’UE devraient continuer à soutenir et à élargir leur engagement à l’égard d’Europol dans le développement de campagnes paneuropéennes de prévention et de sensibilisation.
  • Dans leurs investigations sur l’exploitation sexuelle des enfants en ligne, les États membres de l’UE doivent se munir de ressources suffisantes pour lutter contre ce type de criminalité.
  • La menace croissante de la criminalité cybernétique requiert une législation ciblée permettant la présence et l’application active de la loi dans un environnement en ligne. L’absence d’une telle législation conduit à la perte de leaderships investigateurs.

Tous les détails sont disponibles sur 2017 Internet Organised Crime Threat Assessment (IOCTA) : IOCTA 2017 website  | IOCTA 2017 PDF version

L’IOCTA a été présenté lors de la séance annuelle de la Conférence sur la cybercriminalité Europol-INTERPOL, tenue à La Haye les 27-29 septembre 2017.

Vous pouvez consulter les entrées du blog aux IOCTA précédents sur :

IOCTA 2015 https://notesdeseguretat.blog.gencat.cat/2016/05/23/la-delinquencia-organitzada-a-internet/

IOCTA 2016 https://notesdeseguretat.blog.gencat.cat/2016/11/02/proposta-de-prioritats-operacionals-en-la-delinquencia-a-internet/

https://notesdeseguretat.blog.gencat.cat/2017/05/03/com-prevenir-un-atac-de-ransomware/

_____

Aquest apunt en català / Esta entrada en español / This post in English

 

Quelles sont les principales menaces et tendances de la délinquance sur Internet ?

Le Centre cryptologique national espagnol (CCN) a publié début juin, à travers le CCN-CERT, l’édition 2017 de son Rapport sur les cybemenaces et tendances. Cet organisme fait partie du Centre national d’intelligence et est chargé de gérer les cyberincidents affectant les systèmes du secteur public, d’entreprises et organisations d’intérêt stratégique et tout autre système classé.

Le rapport souligne la complexité de la délinquance sur Internet: les auteurs, aux profils divers, ont toute sorte de motivations selon lesquelles ils attaquent le secteur public, les organisations privées ou les simples usagers suivant des techniques et des objectifs différents dans chaque cas. Par exemple, les organisations criminelles, qui recherchent le profit, attaquent pour voler, publier ou vendre des informations, manipuler l’information, interrompre des systèmes ou en prendre le contrôle. Les cybervandales ou script kiddies[1], quant à eux, veulent simplement faire apparaître des vulnérabilités, s’amuser ou se lancer des défis sous forme d’attaques et leurs actions consistent à voler des informations ou interrompre des systèmes. Les autres acteurs identifiés sont des États, des organisations privées, des cyberterroristes, des cyberdjihadistes, des cyberactivistes, des acteurs internes ou des cyberenquêteurs.

La plupart des attaques ciblent le software ou logiciel, mais les usagers sont aussi identifiés comme vulnérabilité en pointant du doigt l’utilisation de dispositifs mobiles et de l’ingénierie sociale (dont il a été déjà question dans un article précédent). Il faut aussi souligner l’émergence de l’Internet des objets (IoT pour son sigle en anglais, c’est-à-dire Internet of things) car de nombreux fabricants de ce type de dispositifs n’implantent pas de mesures de sécurité et on y détecte de grandes défaillances qui les rendent très vulnérables aux attaques et qui font qu’ils peuvent être contrôlés à distance par des tiers non autorisés.

Pour l’année 2017, on prévoit des menaces plus sophistiquées et visant des objectifs précis (non pas des attaques indiscriminées). Au-delà de cette prévision, on évoque une vingtaine de tendances, en ce qui concerne les menaces mais aussi la réponse à ces menaces, dont notamment :

  • Nouveaux types d’attaques complexes
  • Infections éphémères sans volonté de persister dans le temps mais qui causent de gros dégâts tant qu’elles sont actives
  • Dispositifs mobiles comme objectif du cyberespionnage
  • Attaques contre des systèmes de contrôle industriel, visant des infrastructures critiques
  • Faible sécurité de l’Internet des objets
  • Apprentissage automatique comme catalyseur d’attaques d’ingénierie sociale
  • Attaque à la confidentialité comme outil du cyberactivisme

On peut consulter un résumé exécutif du rapport sur le site web du CCN.

[1] Définis comme « pirates informatiques néophytes qui, dépourvus de compétences en la matière et utilisant des outils mis au point par d’autres, mènent à bien des actions par défi sans être, très souvent, pleinement conscients de leurs conséquences ».

_____

Aquest apunt en català / Esta entrada en español / This post in English

 

 

Le pirate des chambres d’hôtel

Nous publions aujourd’hui un post différent sur le blog. Il s’agit d’une anecdote singulière dont on pense qu’elle permet de s’interroger sur certains aspects de la sécurité et en tirer certains enseignements.

En 2012, l’analyste de la sécurité Cody Brocious a détecté une défaillance sur les serrures électroniques de la marque Onity (installées sur les portes de nombreux hôtels du monde entier) et a créé un petit dispositif portable grâce auquel on parvenait à ouvrir 10 millions de portes d’hôtels.

La trouvaille a été communiquée à l’entreprise mais a aussi été diffusée sur des forums spécialisés de piratage (hacking) et de sécurité informatique, et certains médias (dont la revue Forbes avec l’article du journaliste Andy Greenberg) s’en sont fait l’écho. Malgré cela et malgré les multiples démonstrations de différents dispositifs (de plus en plus petits) répliqués sur Internet et capables de mettre à profit cette défaillance, l’entreprise a tardé à réagir et beaucoup d’hôtels n’ont pas voulu changer les serrures devenues peu sûres.

Aaron Cashatt, un jeune d’Arizona qui avait des problèmes de drogues, un petit casier judiciaire et des connaissances en informatique et électronique, a vu une émission de télévision où l’on expliquait le système de piratage des serrures de chambres d’hôtel. Au cours de l’été 2012, moyennant un investissement d’environ 50 dollars, il a su répliquer le dispositif et l’a testé dans un hôtel où il a dérobé quelques serviettes de bain. Constatant son efficacité, il s’est mis à peaufiner ses coups en dérobant des objets de plus en plus coûteux (d’abord des téléviseurs et autres équipements dont disposaient les chambres puis des biens personnels appartenant aux hôtes), tout en perfectionnant l’outil qui lui permettait d’accéder aux chambres sans laisser de trace. Pendant plus d’un an, les forces de police d’Arizona et d’autres États voisins, dont l’Ohio et la Californie, ont poursuivi un fantôme qui se glissait dans les chambres d’hôtels sans laisser la moindre trace. Et malgré son casier judiciaire (il avait déjà été arrêté et avait purgé une courte peine d’emprisonnement pour des crimes précédents), il faudra attendre l’été 2013 pour qu’on l’associe à près d’une centaine de crimes commis sur cette période et qu’il soit définitivement interpelé, condamné et incarcéré pour ces vols perpétrés dans les hôtels.

Greenberg a publié l’histoire de Cashatt dans la revue Wired au cours de l’été 2017 et, bien que dépourvu de connaissances informatiques, il a su répliquer l’outil conçu par Brocious. Il a essayé d’utiliser le dispositif dans quatre hôtels (pour ne pas commettre de délit, il y prenait une chambre et tentait d’en fracturer la porte) et, étonnamment, cinq ans après la détection de la défaillance, le dispositif a fonctionné dans l’une des chambres.

Cette anecdote permet donc de s’interroger, entre autres, sur certains aspects :

  • Le grand nombre d’acteurs ayant des responsabilités en matière de sécurité (en l’occurrence la police, les hôtels, les fabricants de serrures… et les pirates informatiques qui détectent les défaillances).
  • L’importance d’implanter des mesures après avoir détecté les défaillances. Cashatt a exploité pendant toute une année la défaillance décelée par Brocious… et Greenberg a démontré que cinq ans après, elle constituait encore un risque pour certains établissements qui n’avaient ni changé ni mis à jour leurs serrures.
  • La nécessité de suivre les informations liées à la sécurité. Bien que la défaillance ait été communiquée publiquement et diffusée par les médias, les forces de police n’ont détecté le mode opératoire de Cashatt que lorsque ce dernier a été arrêté et qu’on a trouvé sur lui les dispositifs qu’il utilisait pour entrer dans les chambres.

_____
Aquest apunt en català / Esta entrada en español / This post in English