Pourquoi les appareils IoT sont sensibles aux logiciels malveillants

Un appareil IoT est classé comme tout appareil informatique non standard. Il peut s'agir de produits de consommation, notamment de téléviseurs intelligents et d'objets portables, ou d'objets industriels, tels que des systèmes de contrôle, des caméras de surveillance, des trackers d'actifs ou des systèmes de suivi d'actifs. dispositifs médicaux. Quelle que soit leur orientation, les appareils IoT ont changé la façon dont le monde fonctionne et vit.

Il existe des milliers de types différents d’appareils IoT, mais ils partagent tous la capacité de se connecter à un réseau. La connectivité permet de contrôler ces appareils à distance et permet d'accéder et de collecter leurs données.

Malgré leurs nombreux avantages, les données qu’ils génèrent, collectent et partagent, ainsi que les opérations qu’ils effectuent, rendent les appareils IoT extrêmement attractifs pour les pirates malveillants. Le fait qu’ils soient connectés à un réseau les rend vulnérables aux attaques à distance, et leurs facteurs de forme signifient qu’ils ne disposent pas de la sécurité intégrée nécessaire pour se protéger contre les menaces et l’exploitation.

Faiblesses et vulnérabilités de l'IoT

Selon le rapport 2023 de Bitdefender sur le paysage de la sécurité de l'IoT, les foyers aux États-Unis disposent en moyenne de 46 appareils connectés à Internet et subissent en moyenne huit attaques contre ces appareils toutes les 24 heures. Et ce ne sont que des appareils IoT grand public.

Les pots de miel IoT distribués de Nozomi Networks ont été témoins quotidiennement de centaines et de milliers d'adresses IP d'attaquants uniques en août 2023.

Les attaques IoT visent à prendre le contrôle de l'appareil, à voler ou à effacer des données sensibles, ou à le recruter dans un botnet. Les attaques réussies, en particulier si elles visent des appareils connectés exécutant des infrastructures critiques ou des systèmes médicaux, peuvent avoir de graves conséquences physiques.

les questions de sécurité rendre les appareils IoT sensibles aux logiciels malveillants :

• Contraintes de l'appareil. La plupart des appareils IoT sont conçus avec des capacités matérielles et logicielles minimales suffisantes pour effectuer leurs tâches. Cela laisse peu de capacités pour des mécanismes de sécurité complets ou pour la protection des données, ce qui les rend plus vulnérables aux attaques.
• Mots de passe codés en dur et par défaut. Les mots de passe codés en dur et par défaut donnent aux attaquants employant des tactiques de force brute de fortes chances de pirater l'authentification d'un appareil. Le botnet HEH, par exemple, infecte les appareils à l’aide d’informations d’identification codées en dur et de mots de passe forcés.
• Absence de cryptage. Les données stockées ou transmises en texte clair sont vulnérables aux écoutes clandestines, à la corruption et au détournement. Des informations télémétriques importantes envoyées depuis un appareil IoT, par exemple, pourraient être manipulées pour fournir des résultats erronés.
• Composants vulnérables. L'utilisation de composants matériels courants désigne toute personne ayant une connaissance des cartes de circuits électroniques et des protocoles de communication, tels que Récepteur/émetteur asynchrone universel et circuit inter-intégré, peut démonter un appareil et rechercher des vulnérabilités matérielles.
• Diversité des appareils. Par rapport aux ordinateurs de bureau, aux ordinateurs portables et aux téléphones mobiles, les appareils IoT varient considérablement en termes de facteur de forme et de système d'exploitation. Il en va de même pour les technologies réseau et les protocoles utilisés par les appareils IoT. Cette diversité nécessite des mesures et des contrôles de sécurité plus complexes pour fournir un niveau de protection standard.
• Manque de capacités d’audit. Les attaquants compromettent et exploitent les appareils IoT sans craindre que leurs activités soient enregistrées ou détectées. Les appareils infectés peuvent ne présenter aucune dégradation notable de leurs performances ou de leur service.
• Mauvais mécanismes de mise à jour. De nombreux appareils n'ont pas la possibilité de mettre à jour le micrologiciel ou le logiciel en toute sécurité. Ce déficit oblige les entreprises à engager des ressources importantes pour protéger les appareils IoT contre les nouvelles vulnérabilités, laissant de nombreux appareils exposés. De plus, les appareils IoT ont généralement des déploiements longs, il devient donc de plus en plus difficile de les protéger contre les nouveaux modèles d'attaque.
• Manque de sensibilisation à la sécurité. Les organisations déploient souvent des appareils IoT sans pleinement comprendre leurs faiblesses et leur impact sur la sécurité globale du réseau. De même, la plupart des consommateurs ne disposent pas des connaissances nécessaires pour modifier les mots de passe et les paramètres par défaut avant de connecter un nouvel appareil à Internet, ce qui fait de ce gadget une cible facile pour les attaquants.

Malwares et attaques IoT

Les appareils IoT peuvent être impliqués dans un grand nombre de violations de cybersécurité et d’infections par des logiciels malveillants, et leurs effets peuvent être immédiats, en cascade et provoquer des perturbations majeures. Les attaques incluent les botnets, les ransomwares, les destructeurs et les appareils malveillants.

• Réseaux de robots IoT. Les logiciels malveillants Botnet sont souvent open source et disponibles gratuitement sur des forums clandestins. Il est conçu pour infecter et contrôler autant d’appareils que possible tout en empêchant d’autres logiciels malveillants de type botnet de prendre le contrôle de l’appareil. En raison de leur faible sécurité, les appareils IoT permettent aux acteurs malveillants de les recruter en tant que robots et de créer d’énormes réseaux de zombies pour lancer des attaques DDoS dévastatrices. En fait, selon le rapport Nokia Threat Intelligence 2023, les botnets IoT génèrent aujourd'hui plus de 40 % de tout le trafic DDoS, soit une multiplication par cinq au cours de l'année écoulée. La première attaque majeure de botnet IoT a eu lieu en 2016. Attaque du botnet Mirai. Plus de 600,000 XNUMX appareils IoT ont été infectés, notamment des caméras de vidéosurveillance et des routeurs domestiques. Plusieurs sites Web majeurs ont été mis hors ligne pendant des heures. Les botnets IoT peuvent lancer d'autres attaques, notamment des attaques par force brute, des attaques de phishing et des campagnes de spam.
• Ransomware. Même si de nombreux appareils IoT ne stockent pas de données précieuses localement, ils peuvent néanmoins être victimes d'une attaque de ransomware. Les ransomwares IoT verrouillent les fonctionnalités d'un appareil, gelant les appareils intelligents et arrêtant les opérations commerciales ou les infrastructures critiques. Les ransomwares FLocker et El Gato, par exemple, ciblent les téléphones mobiles, les tablettes et les téléviseurs intelligents, les attaquants exigeant un paiement avant de déverrouiller les appareils infectés. Bien qu’il soit possible de simplement réinitialiser les appareils IoT infectés, le fait de le faire sur des centaines ou des milliers d’appareils avant qu’une situation majeure ne se produise donne à l’attaquant un grand avantage. Une attaque de ransomware au bon moment ou au bon endroit ne donne à la victime que peu ou pas d’autre choix que de payer la rançon.
• Logiciel de destruction. Il s'agit d'un terme inventé, mais il reflète l'intention de ce malware IoT. Le Destructionware est une attaque conçue pour paralyser les infrastructures à des fins politiques, idéologiques ou simplement malveillantes. Exemple concret : l’attaque de 2015 contre le réseau électrique ukrainien. L’attaque sophistiquée et bien planifiée a détruit tout un réseau électrique ; il a fallu des mois avant que les opérations ne soient complètement rétablies. Une partie de l'attaque impliquait l'écrasement du micrologiciel sur des convertisseurs série-Ethernet critiques, empêchant les véritables opérateurs de pouvoir émettre des télécommandes. Les appareils infectés ont dû être remplacés par de nouveaux. Une attaque similaire s'est produite dans 2022.
• Appareils malveillants. Au lieu d’essayer de prendre le contrôle des appareils IoT, de nombreux cybercriminels se contentent de connecter un appareil malveillant au réseau IoT s’il n’est pas entièrement protégé. Cela crée un point d’accès à partir duquel l’attaquant peut s’introduire davantage dans le réseau.

Comment détecter les attaques de logiciels malveillants IoT

Les appareils IoT sont désormais des composants essentiels de pratiquement toutes les grandes industries. Les équipes de sécurité doivent comprendre les facteurs de risque complexes spécifiques à leur déploiement et à leur utilisation. Cependant, les techniques de détection des logiciels malveillants IoT sont encore en chantier. Par exemple, les techniques d’analyse dynamique et statique embarquées standard ne sont pas possibles en raison de la diversité des architectures et des contraintes de ressources des appareils IoT.

La meilleure approche pour détecter les logiciels malveillants IoT est un système de surveillance central qui passe au peigne fin les activités des appareils, telles que le trafic réseau, la consommation des ressources et les interactions des utilisateurs, puis utilise l'IA pour générer des profils comportementaux. Ces profils peuvent aider à détecter tout écart résultant de cyberattaques ou de modifications de logiciels malveillants, quel que soit le type d'appareil. Les appareils qui génèrent ou traitent des données confidentielles doivent utiliser un modèle d'apprentissage fédéré décentralisé pour garantir la confidentialité des données pendant la formation des modèles.

Les futures méthodes de détection de l’IoT pourraient inclure l’analyse des signaux électromagnétiques. Les chercheurs en sécurité travaillant à l'IRISA, par exemple, identifié malware exécuté sur un appareil Raspberry Pi avec une précision de 98 % en analysant l'activité électromagnétique. Un gros avantage de cette technique est qu’elle ne peut être détectée, bloquée ou éludée par aucun logiciel malveillant.

Comment prévenir les logiciels malveillants IoT

En attendant de trouver une méthode viable et efficace pour détecter et bloquer rapidement les logiciels malveillants, la meilleure approche consiste à garantir que les appareils sont entièrement protégés avant et pendant le déploiement.

Suivez les étapes suivantes:

• Activer une autorisation forte. Changez toujours les mots de passe par défaut. Dans la mesure du possible, utilisez l’authentification multifacteur.
• Utilisez un cryptage permanent. Cryptez à tout moment toutes les données et tous les canaux de communication réseau.
• Désactivez les fonctionnalités inutiles. Si certaines fonctionnalités ne sont pas utilisées (par exemple Bluetooth si l'appareil communique via Wi-Fi), désactivez-les pour réduire la surface d'attaque.
• Appliquez des correctifs et des mises à jour. Comme pour tous les autres actifs du réseau, maintenez toutes les applications et tous les appareils IoT à jour, en particulier les micrologiciels. Cela pourrait poser problème pour les appareils plus anciens qui ne peuvent pas être corrigés. Si la mise à niveau n'est pas possible, placez les appareils sur un réseau distinct afin qu'ils ne mettent pas les autres appareils en danger. Appareils de passerelle peut aider à protéger ces types d’appareils contre la découverte et les attaques.
• API sécurisées. Les API constituent une partie importante de l’écosystème IoT. Ils fournissent une interface entre les appareils et les systèmes back-end. Par conséquent, testez sous contrainte toutes les API utilisées par les appareils IoT et vérifiez-les pour vous assurer que seuls les appareils autorisés peuvent communiquer via elles.
• Maintenir un inventaire complet des actifs. Ajoutez chaque appareil IoT à un outil de gestion des stocks. Enregistrez l’ID, l’emplacement, l’historique des services et d’autres mesures importantes. Cela améliore la visibilité sur l'écosystème IoT, aide les équipes de sécurité à identifier les appareils malveillants se connectant au réseau et signale les modèles de trafic anormaux qui pourraient indiquer une attaque en cours. Les outils de découverte de réseau peuvent également aider les équipes à rester au courant des réseaux IoT vastes et en expansion rapide.
• Mettez en œuvre une sécurité réseau renforcée. Séparez tous les réseaux auxquels les appareils IoT se connectent et déployez des défenses périmétriques dédiées.
• Surveillez les applications back-end IoT. Définissez des alertes pour avertir d’une activité inhabituelle et recherchez régulièrement les vulnérabilités.
• Soyez proactif en matière de sécurité. Mettez en œuvre des mesures d’atténuation lorsque de nouvelles méthodes d’attaque ou des logiciels malveillants sont découverts. Restez au courant des évolutions dans le paysage des menaces IoT. Mettre en place un plan bien préparé pour détecter et répondre aux rançongiciels et les attaques DDoS.
• Établir des politiques de travail à domicile. Alors que de plus en plus de personnes connectent des appareils IoT grand public à leurs réseaux domestiques, les employés qui travaillent à domicile doivent suivre strictement les politiques qui régissent la manière dont ils accèdent aux réseaux et aux ressources de l'entreprise. Les appareils domestiques intelligents peuvent également avoir une sécurité faible, ouvrir le risque qu'un attaquant pourrait créer un point d'entrée dans le réseau d'une entreprise. Sensibilisez les employés aux risques de sécurité que créent leurs appareils intelligents et à la manière de garantir qu'ils sont à l'abri des attaques.
• Mettez en place un programme de bug bounty. Offrez des récompenses aux pirates informatiques éthiques qui découvrent et signalent avec succès une vulnérabilité ou un bug au sein du matériel ou des logiciels de l'écosystème IoT.

L’avenir des attaques IoT

Établir un plan pour atténuer les vulnérabilités des logiciels malveillants IoT et déterminer comment contrer les attaques IoT est une priorité pour toutes les organisations. La fréquence des attaques IoT ne fera qu’augmenter à mesure que le monde deviendra de plus en plus dépendant des technologies intelligentes.

Les écosystèmes IoT sont naturellement complexes avec une grande surface d'attaque ; les pirates malveillants considèrent à juste titre les appareils IoT comme des fruits à portée de main. L’absence de normes de sécurité IoT acceptées à l’échelle mondiale rend la sécurité des appareils IoT beaucoup plus difficile. Des initiatives, comme celles de NIST, L'ENISA, Institut européen des normes de télécommunications et par Alliance ioXt, conduira à une sécurité intégrée considérablement améliorée pour les futurs appareils IoT. Entre-temps, la loi européenne sur la cyber-résilience vise à garantir les fabricants améliorent la sécurité de leurs appareils numériques.

Michael Cobb, CISSP-ISSAP, est un auteur renommé en matière de sécurité avec plus de 20 ans d'expérience dans le secteur informatique.