- Les défis de la sécurisation de l'Internet des objets
- Que doivent faire les utilisateurs pour sécuriser les appareils IoT?
- Stratégies de sécurité IoT
- Fonctionnalités de sécurité des appareils IoT
L'Internet des objets (IoT) est un terme qui décrit des millions d'appareils équipés de capteurs et connectés via Internet. La révolution IoT a créé une révolution de style de vie qui offre de la commodité. C'est grâce à l'IoT que nous avons des villes intelligentes, des technologies portables, des voitures sans conducteur, des appareils électroménagers intelligents, des appareils médicaux intelligents, parmi de nombreux autres appareils intelligents. Selon Gartner, 20 milliards d'appareils seront interconnectés d'ici 2020. Mais malgré les immenses avantages qu'apporte l'IoT, l'interconnexion accrue comporte de nombreux risques de cybersécurité. La demande croissante d'appareils IoT et la recherche de commodité ont fait de la confidentialité et de la sécurité des données une deuxième priorité. La sécurisation des appareils IoT nécessite la participation des utilisateurs, des fabricants d'appareils et des agences de régulation gouvernementales.
Avant de vous plonger dans les risques associés à la technologie IoT, vous pouvez également consulter divers articles IoT utiles:
- Principales plates-formes matérielles pour l'Internet des objets (IoT)
- Choisir la bonne plateforme pour votre solution IoT
- Principales plates-formes IoT Open Source pour réduire vos coûts de développement IoT
Et pour commencer à créer des applications Iot du monde réel, il existe de nombreux projets basés sur l'IoT utilisant Arduino, Raspberry Pi, ESP8266 et d'autres plates-formes.
Les défis de la sécurisation de l'Internet des objets
La réplication des appareils est un défi de taille lorsqu'il s'agit de sécuriser les appareils IoT. Une fois qu'un appareil IoT est fabriqué, il est ensuite répliqué et produit en série. La réplication signifie que, si une vulnérabilité de sécurité est identifiée dans l'un des appareils, tous les autres appareils peuvent être exploités. Cela rend les incidences de la cybersécurité IoT catastrophiques. En 2016, Hangzhou Xiongmai Technology; une entreprise chinoise a été contrainte de rappeler des millions d'appareils de surveillance après qu'une faille de sécurité a provoqué une attaque sur les serveurs de Dyn qui hébergent Twitter et Netflix.
Négligence des ingénieurs de sécurité. La majorité des gens pensent que les pirates ne ciblent pas les systèmes embarqués. La cybersécurité est perçue comme un problème pour les grandes entreprises. En conséquence, les détails de sécurité ne sont pas une priorité lorsqu'il s'agit de la fabrication d'appareils il y a quelques années. Cependant, des développements récents indiquent que les fabricants d'appareils accordent la priorité à la sécurité dans le cycle de vie de la fabrication d'appareils IoT.
Les appareils IoT ne sont pas facilement patchés. Les appareils IoT sont commercialisés par millions et alors que les consommateurs se précipitent pour acheter ces appareils, très peu de clients font un suivi auprès des fabricants d'appareils pour installer des mises à niveau logicielles. En outre, la plupart de ces appareils utilisent un logiciel spécifique à l'appareil avec une faible facilité d'utilisation, ce qui rend difficile pour les utilisateurs de mettre à jour le logiciel sans expert.
Les appareils IoT utilisent des protocoles industriels spécifiques qui ne sont pas compatibles ou pris en charge par les outils de sécurité d'entreprise existants. En conséquence, les outils de sécurité d'entreprise tels que les pare-feu et les IDS ne sécurisent pas ces protocoles industriels spécifiques. En raison de l'interconnexion de ces appareils, un compromis sur le protocole des appareils IoT rend l'ensemble du réseau vulnérable.
Absence de normes de sécurité normalisées. En raison de leur spécialisation, différents fabricants se spécialisent dans la fabrication d'un composant spécifique d'un IoT. La majorité de ces fabricants sont situés dans différents pays, suivant ainsi les normes industrielles établies dans ces pays. Par conséquent, les composants utilisés pour créer un seul appareil IoT peuvent finir par avoir des normes de sécurité différentes. Cette différence dans les normes de sécurité peut conduire à une incompatibilité ou induire une vulnérabilité.
Fonctionnalité critique: avec l'émergence des villes intelligentes, les grandes infrastructures gouvernementales s'appuient sur l'IoT. Actuellement, l'infrastructure de transport, les systèmes de communication intelligents, les systèmes de surveillance de sécurité intelligents et les réseaux électriques intelligents reposent tous sur l'IoT. En raison du rôle crucial joué par ces infrastructures, le risque de sécurité impliqué est également élevé en raison du grand intérêt des pirates.
Que doivent faire les utilisateurs pour sécuriser les appareils IoT?
Les utilisateurs ont un rôle essentiel dans l'amélioration de la sécurité des appareils IoT. Certaines de ces responsabilités comprennent:
Modifier les mots de passe par défaut: la majorité des utilisateurs ne prennent pas la peine de modifier le mot de passe par défaut défini par le fabricant. Si vous ne modifiez pas le mot de passe par défaut, les intrus peuvent facilement accéder au réseau. Les technologies positives ont publié un rapport indiquant que 15% des utilisateurs utilisent des mots de passe par défaut. Ce que de nombreux utilisateurs ne savent pas, c'est que la majorité de ces mots de passe sont accessibles à l'aide de n'importe quel moteur de recherche. Les utilisateurs doivent en outre mettre en œuvre des mots de passe forts et sécurisés pour authentifier leurs appareils.
Mettre à jour le logiciel de l'appareil: la majorité des cyber-attaques IoT se produisent en raison de l'échec des utilisateurs à mettre à jour régulièrement le micrologiciel de l'appareil. Là où il y a des appareils qui se mettent à jour automatiquement, d'autres appareils nécessitent une mise à jour manuelle. La mise à jour du logiciel permet de corriger les failles de sécurité et d'obtenir de meilleures performances du logiciel mis à niveau.
Évitez de vous connecter à une connexion Internet inconnue: la majorité des appareils intelligents sont conçus pour rechercher et se connecter automatiquement à tous les réseaux. La connexion à un réseau ouvert, en particulier dans les lieux publics, n'est pas sûre et peut exposer votre appareil à des cyberattaques. La meilleure solution consiste à désactiver la connexion Internet automatique. Les utilisateurs doivent également désactiver Universal Plug and Play. UPnP aide les appareils IoT à se connecter automatiquement les uns aux autres. Les pirates peuvent exploiter UPnP en découvrant ces appareils et en s'y connectant.
Mettre en œuvre un réseau d'invités: la ségrégation du réseau est très cruciale, même dans une organisation. Donner accès aux visiteurs de votre réseau leur permet d'accéder et de partager des ressources avec les appareils connectés. Par conséquent, pour éviter d'exposer vos appareils à des menaces internes et à des amis non fiables, il est essentiel de créer un réseau distinct pour vos invités.
Stratégies de sécurité IoT
Sécurité des API: les développeurs et les fabricants d'appareils doivent adopter des indicateurs de performance des applications (API) comme stratégie de sécurisation de la communication et de l'échange de données entre les appareils IoT et les serveurs.
Intégrer la sécurité IoT dans le cycle de vie du développement: les développeurs et les fabricants d'appareils et de logiciels IoT devraient faire de la sécurité une partie intégrante du processus de conception et de développement. La prise en compte de la sécurité lors du processus de développement initial garantit la sécurité du matériel et des logiciels.
Amélioration de la gestion du matériel: les fabricants d'appareils doivent adopter des stratégies pour garantir que les appareils sont inviolables. Le durcissement des points d'extrémité garantit que les appareils fonctionnant dans des conditions météorologiques difficiles peuvent fonctionner même avec une surveillance minimale.
Utilisation de certificats numériques et d'infrastructure à clé publique: une stratégie d'amélioration de la sécurité de l'IdO consiste à utiliser PKI et 509 certificats numériques. L'établissement de la confiance et du contrôle entre les périphériques de connexion est essentiel pour la sécurité du réseau. Les certificats numériques et PKI garantissent la distribution sécurisée des clés de chiffrement, l'échange de données et la vérification d'identité sur le réseau.
Implémentez un système de gestion des identités pour surveiller chaque appareil connecté. Un système de gestion d'identité attribue un identifiant unique à chaque appareil IoT, ce qui facilite la surveillance du comportement de l'appareil et facilite l'application des mesures de sécurité appropriées.
Implémentez des passerelles de sécurité: les appareils IoT ne disposent pas de suffisamment de mémoire ou de puissance de traitement pour offrir la sécurité requise. L'utilisation de passerelles de sécurité telles que les systèmes de détection d'intrusion et les pare-feu peut aider à offrir des fonctionnalités de sécurité avancées.
Intégration et formation des équipes: l' IoT est un domaine émergent, et par conséquent, une formation constante de l'équipe de sécurité est essentielle. L'équipe de développement et de sécurité doit être formée aux langages de programmation émergents et aux mesures de sécurité. Les équipes de sécurité et de développement doivent travailler ensemble et harmoniser leurs activités et s'assurer que les mesures de sécurité sont intégrées au cours du développement.
Fonctionnalités de sécurité des appareils IoT
À l'heure actuelle, il n'existe pas de taille unique pour toutes les fonctionnalités de sécurité pouvant être adoptées par les fabricants d'appareils. Cependant, les fonctionnalités de sécurité suivantes peuvent faciliter la sécurité des appareils IoT;
Mécanisme d'authentification sécurisé: les développeurs doivent implémenter un mécanisme de connexion qui utilise des protocoles sécurisés tels que X.509 ou Kerberos pour l'authentification.
Améliorez la sécurité des données: implémentez le cryptage des données et des communications pour empêcher un accès autorisé.
Employez des systèmes de détection d'intrusion: les appareils IoT actuels ne sont pas équipés d'IDS capable de surveiller les tentatives de connexion. Même si un pirate tente une attaque par force brute sur les appareils, il n'y aura aucune alerte. L'intégration d'un IDS garantira que les échecs ultérieurs de tentatives de connexion ou d'autres attaques malveillantes sont signalés.
Intégrez les appareils IoT aux capteurs d'altération des appareils: les appareils IoT falsifiés, en particulier ceux sous supervision minimale, sont vulnérables aux cyber-attaques. Les dernières conceptions de processeur sont intégrées à des capteurs de détection de sabotage. Ces capteurs peuvent détecter lorsque les scellés d'origine sont brisés.
Utilisation de pare-feu pour empêcher les cyber-attaques: l' intégration d'un pare-feu ajoute une couche de protection supplémentaire. Un pare-feu aide à contrecarrer les cyber-attaques en limitant l'accès au réseau aux seuls hôtes connus. Un pare-feu ajoute une couche supplémentaire de protection contre le débordement de tampon et les attaques par force brute.
Réseau de communication sécurisé: la communication entre les appareils IoT doit être cryptée via les protocoles SSL ou SSH. Le cryptage des communications permet d'éviter les écoutes et le reniflage de paquets.
La cyberattaque est l'un des principaux freins au succès de la technologie IoT. L'amélioration de la sécurité exige que toutes les parties prenantes travaillent en harmonie pour garantir la mise en œuvre et le respect des normes établies. Les organismes compétents devraient introduire des normes industrielles spécifiques à l'IoT compatibles et prises en charge par d'autres normes du secteur afin d'améliorer l'opérabilité des appareils IoT à tous les niveaux. Les réglementations IoT International qui s'appliquent à tous les pays doivent être appliquées pour garantir la transparence de la qualité des appareils IoT fabriqués. Les parties prenantes doivent sensibiliser les utilisateurs à la nécessité et aux moyens de sécuriser leurs appareils et réseaux contre les cyberattaques.