Ce que les piratages de la caméra Ring nous apprennent sur la sécurité de la maison intelligente

Les caméras de sécurité à domicile Ring ont été au centre de plusieurs cyberattaques très médiatisées. Mais ils mettent en évidence un problème parmi de nombreux appareils domestiques intelligents différents. (Source de l’image : Anneau)

Les cybercriminels attaquent les appareils IoT, y compris les appareils domestiques intelligents, avec très peu de résistance technique. Beaucoup trop d’appareils sont des cibles faciles, faute de solutions de sécurité basiques et fondamentales.

Les appareils domestiques intelligents, des sonnettes et caméras Ring aux réfrigérateurs et téléviseurs intelligents, et maintenant même aux toilettes intelligentes, sont devenus un marché mondial en expansion rapide de plusieurs centaines de milliards de dollars/an. Avec des appareils IoT désormais présents dans environ un tiers des foyers américains, les risques de cybersécurité augmentent pour le consommateur moyen.

De tels risques ne sont pas seulement théoriques. Récemment, les sonnettes et les caméras Ring ont subi plusieurs cyberattaques très médiatisées, y compris, dans un cas, une caméra Ring dans la chambre d’une fillette de 8 ans à laquelle un pirate informatique a demandé de la gâcher. chambre et d’appeler sa mère par des insultes raciales. Dans un autre cas, un pirate informatique a dit à une jeune fille qu’il était le Père Noël et l’a narguée à travers la caméra.

Les histoires de pirates informatiques harcelant des enfants sont choquantes et, en tant que telles, font rapidement la une des journaux. Ces attaques montrent à quel point notre vie privée est devenue vulnérable avec la croissance des appareils domestiques intelligents, contrairement à leurs mesures de sécurité défaillantes.

Et les préoccupations vont même au-delà de la vie privée. Les botnets IoT enrôlent fréquemment des appareils domestiques intelligents, les transformant en armes dans des attaques DDoS, les utilisant pour envoyer des quantités massives de spams ou pour effectuer du minage de crypto. D’autres attaques ont entraîné la perte de données personnelles, notamment d’informations financières et de mots de passe WiFi. Pire encore, les cyberattaques peuvent dégénérer en menaces physiques. Les criminels peuvent surveiller les caméras de sécurité pour déterminer quand les propriétaires sont absents et les serrures de porte piratées pourraient permettre une entrée facile pour quelqu’un qui cherche à voler plus que de simples données.

Les sonnettes et les caméras de sécurité à domicile sont loin d’être le seul appareil de maison intelligente à avoir souffert d’une cyberattaque. Les appareils électroménagers sont également vulnérables. L’un des premiers incidents d’appareils infectés par des botnets enregistrés s’est produit pendant la période des fêtes à la fin de 2013 lorsque, selon Business Insider et Proofpoint, un botnet basé sur un réfrigérateur a été utilisé pour attaquer des entreprises. Contrairement à la plupart des attaques de logiciels malveillants, ce botnet n’a pas attaqué l’hôte qu’il a infecté, mais a plutôt servi à éliminer des vagues d’attaques DDoS utilisées pour paralyser les entreprises.

De nombreux appareils domestiques intelligents se sont révélés vulnérables, notamment des ampoules intelligentes, des serrures intelligentes, des toilettes intelligentes et des moniteurs pour bébé. Malgré des vagues de législations récentes imposant des niveaux de sécurité plus élevés, il semble peu probable que ces problèmes de sécurité soient résolus de si tôt.

Ces violations montrent que les appareils nécessitent des niveaux de sécurité plus élevés et que l’utilisation d’informations d’identification statiques est intrinsèquement imparfaite.

La bataille sans fin de la sécurité de l’IoT

La violation de Ring n’est pas le premier exemple d’informations d’identification statiques faibles entraînant un piratage IoT. Le botnet Mirai, qui utilisait des mots de passe par défaut pour accéder à une variété d’appareils IoT, est l’enfant emblématique des piratages IoT exploitant des informations d’identification faibles. Les informations d’identification statiques (noms d’utilisateur et mots de passe) imposent une charge excessive aux utilisateurs d’appareils et sont de plus en plus inadéquates lorsque les technologies d’authentification avancées, disponibles aujourd’hui, empêcheraient intrinsèquement de tels piratages.

Nous sommes passés des jours d’introduction de l’IoT aux déploiements de masse. Il n’est plus acceptable de vendre et de déployer des objets connectés, des voitures aux sonnettes intelligentes, avec une sécurité faible ou inexistante. À la lumière de la confiance des consommateurs endommagée et des risques croissants pour la sécurité, il est essentiel que les fabricants d’appareils IoT commencent à prendre la sécurité au sérieux et intègrent des technologies de sécurité complètes dans leurs appareils.

L’État de Californie et l’Union européenne ont déjà promulgué une législation exigeant des niveaux de sécurité plus élevés pour les appareils IoT, et de nombreuses autres juridictions ont une législation en attente. En outre, des consortiums industriels et des organismes de réglementation gouvernementaux, tels que la FDA, ont commencé à définir des exigences de cybersécurité pour les appareils IoT sur des marchés verticaux spécifiques.

Protéger les appareils et les informations IoT des cyberattaques n’est pas simple et ne sera jamais parfait. C’est une bataille évolutive en cours. Les cybercriminels améliorent constamment leurs méthodes et développent de nouvelles tactiques d’attaque encore plus intelligentes. Cependant, rester au courant des meilleures pratiques en matière de cybersécurité et utiliser des solutions de sécurité éprouvées fournit une base solide pour protéger les appareils contre les cyberattaques.

La sécurité domestique à l’ère de l’IoT

Pour protéger les foyers et les entreprises contre les cyberattaques, tous les appareils connectés doivent inclure une gamme de fonctionnalités de sécurité qui protègent l’appareil contre diverses attaques, protègent l’intégrité de l’appareil et activent « l’identité de l’appareil », afin que tous les objets connectés peuvent être authentifiés pour communiquer en toute sécurité via Internet en utilisant le cryptage. Il existe une variété de solutions d’identité et d’intégrité IoT éprouvées et testées par l’industrie qui fournissent aux fabricants IoT des techniques et des protocoles très efficaces pour authentifier et sécuriser les appareils connectés.

Ils peuvent inclure :

• Démarrage sécurisé. Fournit des API logicielles intégrées qui garantissent que le logiciel n’a pas été altéré, de la mise sous tension initiale à l’exécution de l’application. Il permet également aux développeurs de coder en toute sécurité les chargeurs de démarrage, les micronoyaux, les systèmes d’exploitation, le code d’application et les données.
• Mises à jour à distance sécurisées. Il est important de valider que le firmware de l’appareil n’a pas été modifié avant l’installation. Les mises à jour à distance sécurisées garantissent que les composants ne sont pas modifiés et sont des modules authentifiés par l’OEM.
• Communication sécurisée. L’utilisation de protocoles de sécurité tels que TLS, DTLS et IPSec ajoute l’authentification et la protection des données en mouvement aux appareils IoT. En éliminant l’envoi de données en clair, il est beaucoup plus difficile pour les pirates d’écouter les communications et de découvrir les mots de passe, la configuration de l’appareil ou d’autres informations sensibles.
• Pare-feu intégrés. En travaillant avec des systèmes d’exploitation en temps réel (RTOS) et Linux pour configurer et appliquer des règles de filtrage, les pare-feu intégrés empêchent la communication avec des appareils non autorisés et bloquent les messages malveillants.
• Éléments sécurisés. Les OEM et les fabricants de dispositifs médicaux doivent utiliser un élément sécurisé, tel qu’un élément sécurisé conforme au module de plate-forme de confiance (TPM) ou un élément sécurisé intégré pour le stockage sécurisé des clés. Le stockage sécurisé des clés permet un démarrage sécurisé et une inscription PKI à l’aide de paires de clés générées au sein de l’élément sécurisé, offrant des niveaux de protection très élevés contre les attaques.
• Certificats d’identité de périphérique. L’ajout de certificats numériques aux appareils pendant la fabrication garantit que les appareils sont authentifiés lorsqu’ils sont installés sur un réseau, ainsi qu’avant de communiquer avec d’autres appareils du réseau, protégeant ainsi contre l’introduction d’appareils contrefaits dans le réseau.