Deux chercheurs de Pen Test Partners ont fait monter la température d’un cran de plus dans le secteur de la sécurité informatique en prenant un thermostat connecté en otage lors de la conférence DEFCON le 6 août dernier.

Exploitant un bug contenu dans cet objet intelligent tournant sous Linux, ils ont pris le contrôle à distance via l’Internet du thermostat et incité la victime à l’installation d’une application tierce derrière laquelle s’installe un ransomware.

Avec ce logiciel malveillant, le hacker peut programmer le thermostat au maximum en été et au minimum en hiver ou tout simplement bloquer l’accès à l’objet. La victime se voit dans l’obligation de payer une rançon sous peine de souffrir des conséquences d’une température extrême.

Cette démonstration à but éducatif montre que si l’engouement populaire envers l’Internet des objets est grandissant, il s’accompagne toujours en parallèle de graves lacunes en matière de sécurité.

Au-delà de la domotique : L’IoT est un vrai risque pour le monde de l’entreprise

La compromission de l’IoT (Internet of Things) ne s’arrête pas au périmètre de la domotique et dans ce scénario, à un thermostat destiné à l’utilisation de quelques personnes. A une échelle plus large, le risque de nuire gravement au monde de l’entreprise via une multitude d’objets connectés, est latent avec des conséquences économiques potentiellement désastreuses.

L’exemple du monde industriel du futur

De nombreux secteurs d’activité d’entreprises risquent d’être affectés par l’essor de l’IoT. Cependant, le challenge déjà actuel, pour les RSSI de convergence IT/OT, rend le phénomène IoT pour la transformation digitale de l’industrie plus bouleversante encore. Le rôle du RSSI devient déterminant dans ce cadre IoT : il est le garant de la bonne marche des installations et le facilitateur entre les différents services IT, OT et IoT.

L’IoT entre opportunité et menace pour la production

Si le thermostat est un exemple d’objet connecté qui pourrait être utilisé comme capteur de mesure dans le monde industriel, de manière générale, l’utilisation de l’IoT dans l’industrie est devenue autant une opportunité qu’une problématique.

En effet, les entreprises voient un vrai bénéfice à utiliser les systèmes d’objets connectés pour faciliter le travail sur les chaines de production. Les appareils connectés vont permettre de remonter de nombreuses informations vers des Cloud externes. Ces informations pourront notamment aider l’entreprise à réaliser des analyses dédiées à l’optimisation des processus ou à effectuer de la maintenance prédictive. Or, si l’objet connecté est compromis, il devient non seulement obsolète dans la remontée d’informations mais peut surtout permettre au hacker de compromettre les automates industriels.

La question est simple : comment mettre en place des systèmes intégrant les objets connectés afin de profiter des nouvelles capacités liées au big data tout en s’assurant qu’ils ne viendront pas perturber les systèmes existants ?

La solution l’est encore plus : les responsables de sécurité des systèmes d’informations doivent proposer des principes de séparation entre les systèmes de contrôle de commandes existants et ces nouveaux appareils connectés industriels.

Une protection dédiée contre les vulnérabilités IoT industrielles

Pour cela, des solutions dédiées au monde industriel telles que, par exemple, le pare-feu SNi40 de notre gamme Stormshield Network Security, peuvent aider à prévenir qu’un objet connecté compromis puisse permettre à un attaquant de rebondir vers les appareils de l’automatisation industrielle existants.

Avec le SNi40 et les produits de la gamme Stormshield Network Security, l’attaquant ne peut pas atteindre vos automates. Depuis la même console d’administration, vous contrôlez les flux entrants et sortants entre votre entreprise et vos fournisseurs et/ou les datacenters. Vous pouvez créer des réseaux séparés pour l’IoT, les automates et l’IT via des règles de filtrage à destination des automates. Enfin, nos solutions vous permettent d’effectuer des analyses protocolaires (audit réseau) pour garantir la bonne santé de vos infrastructures réseaux.