Compréhension comment sécuriser vos appareils IoT pourrait être plus important que vous ne le pensez. Téléviseurs intelligents, accessoires de salle de bains intelligents, réfrigérateurs connectés: il semble qu'aujourd'hui, tout et tout puissent être connectés. A tel point qu'il a fallu inventer un nouveau terme: l'Internet des objets. En 2018, on estime qu'environ 40% des Américains utilisent une forme de technologie de maison intelligente.
Qu'est-ce qui rend un appareil intelligent? Cela n'a rien à voir avec l'intelligence, réelle ou artificielle. Ce que nous appelons des appareils intelligents, ce sont toutes ces choses qui se connectent à votre réseau local via WiFi ou parfois Bluetooth et qui peuvent être contrôlées à distance, souvent via une sorte de passerelle Web.
La popularité de ces appareils n’est pas surprenante. Imaginez la commodité d'une maison où vous pouvez accéder aux lumières, au chauffage, à la machine à laver ou à la porte de garage à partir d'un point centralisé. Des périphériques tels que les concentrateurs Amazon Echo ou Google Home peuvent le faire et améliorer votre sécurité et votre confort.
Aujourd’hui, nous allons découvrir quelles sont les menaces etpourquoi ils sont dangereux. Nous discuterons également des appareils qui présentent les plus grands risques, puis de ce qui peut être fait pour sécuriser vos appareils IoT.
Comment obtenir un VPN GRATUIT pendant 30 jours
Si vous avez besoin d’un VPN pendant un court séjour, par exemple, vous pouvez obtenir gratuitement notre VPN classé au premier rang. ExpressVPN comprend une garantie de remboursement de 30 jours. Vous devrez payer pour l’abonnement, c’est un fait, mais cela permet accès complet pendant 30 jours et ensuite vous annulez pour un remboursement complet. Leur politique d'annulation, sans poser de questions, est à la hauteur de son nom.
Tout a un prix
Malheureusement, étant connecté, l'IdOLes appareils sont également laissés ouverts aux risques de sécurité que nous commençons à peine à apparaître. Chester Wisniewski, chercheur chez Sophos - une entreprise de sécurité renommée - suggère de «considérer tout appareil électroménager intelligent comme un ordinateur minuscule. Si vous pouvez y accéder ou le contrôler à distance, quelqu'un d'autre peut aussi ”.
Les menaces sont partout. Des chercheurs ont démontré qu'en piratant un seul appareil, les pirates informatiques peuvent souvent accéder à tout un réseau domestique. Cela pourrait commencer par le simple piratage d'une caméra de sécurité non protégée et aboutir à des données personnelles volées à partir de votre ordinateur.
Autre exemple, un bug a été trouvé l’année dernière dansle système de sécurité Nest. Cela permettait à un pirate d’allumer et d’éteindre les caméras. Nous avons également entendu parler de cet ours en peluche compatible Bluetooth qui a été conçu pour que les enfants puissent recevoir les messages de leurs proches, mais qui pourrait être piraté et utilisé à des fins de surveillance. Et ce ne sont que quelques exemples. Nous ne le dirons jamais assez, les menaces sont partout. C'est le prix que nous devons payer pour tirer le meilleur parti de l'Internet des objets.
Quelques problèmes de sécurité importants affectant les périphériques IoT
Bien sûr, la plupart des appareils IoT ont un fonctionnement limitéet ne devrait donc pas être affecté par la plupart des menaces actuelles. Tout comme il n’ya pas beaucoup de virus qui attaquent les ordinateurs Linux, il ne devrait pas y avoir d’attaque de périphériques connectés, n’est-ce pas? C’est vrai, mais cela ne signifie pas qu’ils sont sans risque.
Les appareils IoT ont souvent des capacités limitées etne sont pas particulièrement efficaces en matière de sécurité. Cela les laisse ouverts au piratage et pourrait être utilisé comme un moyen d'accéder à d'autres périphériques en réseau tels que vos ordinateurs. Les principales menaces de l'Internet des objets sont les réseaux de zombies, l'authentification et la confidentialité des données. Expliquons.
Botnets
Le plus grand risque pour la sécurité lié aux appareils IoT ne nous concerne pas nécessairement. Au contraire, le plus grand risque est de faire en sorte que nos dispositifs IoT deviennent des attaques contre des réseaux de zombies.
Un botnet est un groupe de nombreux périphériques sous lecontrôle d'un pirate informatique. Ils peuvent être utilisés pour bombarder virtuellement un site Web avec suffisamment de demandes pour qu'il ne fonctionne plus. Et des attaques similaires par déni de service distribué, ou DDOS, peuvent également cibler les fournisseurs de services et provoquer des interruptions de service. L'attaque de botnet Mirai a détruit une bonne partie de l'Internet américain en 2016.
Le nombre d'attaques DDOS a augmenté de 91% l'an dernieret cela est en grande partie attribué aux violations croissantes des périphériques domestiques intelligents. Les chercheurs ont récemment découvert une autre propagation du malware Mirai, qui a infecté plus de 100 000 appareils en quelques jours.
Voici un exemple concret. Des chercheurs ont découvert l'an dernier une faille dans les ampoules intelligentes de Hue de Phillips. La faille aurait pu permettre à des attaquants d'infecter une ampoule avec un logiciel malveillant qui se propagerait à d'autres appareils similaires dans un rayon de quelques centaines de mètres, avec le potentiel d'affecter éventuellement toutes ces ampoules de la ville. Et une fois que le logiciel malveillant a infecté de nombreux appareils, ils peuvent être utilisés pour lancer une attaque DDOS.
Les caméras connectées à Internet pourraient également devenirinfecté et utilisé pour télécharger d’énormes quantités de données sur Internet, ce qui en rend une partie inutilisable. Et pourquoi ne pas allumer simultanément des dizaines de milliers de climatiseurs dans une ville susceptible de détruire une partie du réseau électrique de la région?
Pourquoi les dispositifs IoT sont-ils si vulnérables aux botnets?
Le problème de la vulnérabilité des appareils IoTdécoule du fait que personne ne pensait même pouvoir devenir une menace. Ce n'est que récemment que l'on a découvert que ces appareils pourraient être piratés. Et pour aggraver les choses, en raison de leurs capacités d'interface souvent limitées, les développeurs peuvent créer des portes dérobées directement dans leurs appareils afin de faciliter leur développement. Et comme les entreprises sont toujours pressées de mettre les nouvelles technologies sur le marché, ces portes dérobées sont souvent laissées même après la fin du cycle de développement. Une autre raison est que de nombreux utilisateurs d'appareils IoT ne changent pas les mots de passe par défaut pour accéder à leurs appareils ni n'utilisent des mots de passe faibles.
Il y a même un moteur de recherche particulier quiil est extrêmement facile pour les pirates de trouver de nombreux appareils connectés à Internet. Et lorsque leurs utilisateurs utilisent encore le mot de passe par défaut ou un mot de passe facilement déchiffrable, la violation de ces périphériques est un jeu d'enfant.
Alex Balan, chercheur en sécurité chez Chede, fournisseur de logiciels de sécurité chez Bitdefender:
«Nous surveillons environ 300 réseaux de zombies fabriquésentièrement des appareils IoT. Les pirates explorent Internet, cherchant des appareils vulnérables et connectés. C’est la principale conséquence des dispositifs de maison intelligente non sécurisés: une attaque DDOS coûte de l’argent réel en perturbant les services Internet. ”
Sécuriser l'authentification
De nombreux appareils IoT doivent s'authentifier auprès ded'autres dispositifs ou systèmes. Quand ils le font, ils doivent être configurés pour le faire en toute sécurité. Les identifiants et les mots de passe doivent être soigneusement définis et, chaque fois que cela est possible, des clés de chiffrement telles que SSH peuvent être utilisées pour s'authentifier auprès d'autres systèmes. Les appareils de vidéosurveillance et les enregistreurs vidéo numériques ont souvent ce type de fonctionnalité intégrée.
Des certificats SSL de périphérique pourraient également être ajoutéspendant le processus de fabrication des dispositifs IoT. Ils aideraient à établir l’identité de l’appareil tout en facilitant le processus d’authentification. L’intégration de la sécurité dans l’appareil dès le départ est l’un des facteurs les plus importants que les fabricants d’IoT doivent prendre en compte. Les vulnérabilités et les défauts éventuels doivent être pris en compte dans le processus de conception.
Dans d'autres cas, les certificats SSL de périphérique peuventêtre émises au cours du processus de fabrication ou ajoutées ultérieurement pour établir l'identité du dispositif et faciliter le processus d'authentification. Le concept d'intégration de la sécurité dans l'appareil dès le départ est un concept important à prendre en compte par les fabricants d'IdO. Quelques exemples de périphériques IoT pouvant utiliser des certificats SSL: le bouton IoT Amazon Web Services, les compteurs intelligents et certains périphériques de gestion de l'énergie domestique.
Et le dernier mais non le moindre, l’authentification devrait êtreégalement utilisé pour les mises à jour logicielles et les microprogrammes. Cela garantirait que le logiciel mis à jour ne peut être extrait que de sources approuvées. Sinon, vous risquez de voir nos appareils «mis à jour» avec un code malveillant provenant d’une source non autorisée.
Sauvegarde de la vie privée
De nombreux appareils IoT offrent différents types decapacités de surveillance ou d'enregistrement. Pensez aux caméras de surveillance connectées au réseau, par exemple. Un autre exemple populaire est le moniteur pour bébé ou la «caméra de nounou» que certaines personnes utilisent pour surveiller leurs baby-sitters. Les haut-parleurs intelligents sont un autre exemple.
Une marque de caméras a été récemment découverte parBitdefender peut être contrôlé à distance depuis le Web et permettre aux gens de voir chez eux, de déplacer les caméras et de les diriger où ils veulent. Et on pense qu'il existe environ 300 000 caméras de ce type présentant cette faille dans le monde.
Une autre préoccupation importante pour la vie privée de nombreuses personnesconcerne les pirates informatiques qui utilisent des appareils IoT comme «points de saut» pour accéder à d’autres appareils de leur domicile. Cela pourrait laisser leurs données personnelles exposées.
Certains appareils présentent un risque plus élevé
À l'insu de vous, la caméra de sécurité ourouteur sans fil que vous utilisez depuis des années pourrait être l’une des principales sources de vulnérabilités de votre réseau domestique intelligent. Tom Canning, vice-président de l'IdO et des périphériques chez Canonical, la société derrière Ubuntu Core, un système d'exploitation pour un appareil IoT, a déclaré:
«Les appareils qui posent le plus grand risque sont ceuxqui ont été connectés et ensuite oublié par les consommateurs. La capacité de garder ces périphériques à jour et sécurisés est essentielle, mais nombre d'entre eux ont une sécurité faible, des solutions de mot de passe faibles ou aucun moyen de localiser, corriger ou installer les mises à jour de système d'exploitation. ”
Un autre risque provient d’appareils qui ne sont passurveillés par leurs fabricants pour les vulnérabilités logicielles. Il peut également provenir d’appareils ne disposant pas des mises à jour logicielles ni des correctifs logiciels. Et pour aggraver les choses, l’identification de ces appareils n’est pas toujours facile.
Comme Canning l’a indiqué, «les fabricants devraientassurez-vous qu'il existe un mécanisme fiable pour la mise en œuvre des correctifs logiciels - sans l'intervention du consommateur ou des compétences particulières. Souvent, ces appareils intelligents (ou appareils de l'Internet des objets) sont construits, proposés sur le marché, puis ignorés dès qu'ils arrivent dans les magasins, laissant des millions d'appareils potentiellement non corrigés dotés de vulnérabilités non découvertes entre les mains de consommateurs peu méfiants, dans l'attente de être piraté. "C'est effrayant!
Sécuriser vos appareils IoT
Bien qu'il soit relativement facile de réaliserque votre ordinateur ou votre smartphone a été piraté, il est bien plus difficile d'identifier un appareil intelligent pour la maison compromis. Les téléphones et les ordinateurs disposent de toutes sortes de systèmes de protection et d’alerte qui bloquent souvent les tentatives d’accès inconnues ou au moins envoient une notification. Les appareils ménagers connectés, par contre, sont simplement en ligne et programmés pour répondre à des événements spécifiques.
Comme le dit également Caning, «les appareils Internet-of-Thingseux-mêmes doivent être reconnus comme le point le plus critique auquel la sécurité doit être envisagée. Un appareil qui ne peut pas être piraté n'existe pas, il n'y a que des appareils avec des vulnérabilités non découvertes. "
Que peut-on faire pour améliorer la sécurité
Il y a plusieurs choses que vous pouvez faire pour améliorerla sécurité de vos appareils IoT. Voici quelques suggestions. Certaines sont évidentes et vous les avez peut-être déjà faites. De la même manière, assurez-vous de prendre le plus grand nombre de mesures possible pour sécuriser votre sécurité.
Changer le mot de passe par défaut de tous les périphériques IoT
C’est vraiment la précaution la plus fondamentale que vous puissiezprendre. Les cinq mots de passe les plus populaires (et ceux-ci comprennent les mots de passe par défaut courants de plusieurs marques) peuvent accéder à un appareil domestique intelligent sur 10. Malheureusement, 15% des propriétaires d’appareils IoT ne modifient jamais les mots de passe par défaut. Cela peut être dû à une interface peu maniable qui rend la modification difficile. Quoi qu'il en soit, assurez-vous de ne jamais laisser de mot de passe par défaut.
Choisir des appareils avec des mises à jour logicielles automatiques
C’est un fait connu que les logiciels obsolètespourrait contenir des bogues permettant l’accès des pirates. Les mises à jour logicielles automatiques garantissent que les périphériques sont protégés le plus rapidement possible et qu'ils exécutent toujours les logiciels les plus récents et les plus sûrs. Méfiez-vous des appareils connectés nécessitant des mises à jour manuelles. Il est fort probable qu'ils finiront par devenir obsolètes et vulnérables.
Choisissez des marques connues
Ce n’est pas cet équipement de plus grande taille, bien connules entreprises est intrinsèquement plus sécurisé. Mais ils seront généralement plus réceptifs aux rapports de bogues et protégeront mieux leurs clients. Bien que le dispositif innovant d'une nouvelle startup puisse être excitant, vous courez le risque de voir le fabricant disparaître et vous rendre vulnérable. Otto, par exemple, fabriquait une serrure intelligente à 700 $. Après seulement quatre mois d’exploitation, le système s’est arrêté, laissant aux clients un verrou connecté à Internet qui ne recevrait plus de mises à jour logicielles.
Ne pas utiliser de comptes utilisateur sensibles sur des appareils IoT
Lorsque vous vous connectez à votre téléviseur intelligent avec votreLes identifiants Facebook peuvent sembler pratiques. Cela pourrait être risqué si votre smart TV comportait une vulnérabilité logicielle permettant à des attaquants d'accéder à ses identifiants. Un connecteur intelligent d’Edimax a même demandé aux adresses électroniques personnelles et aux mots de passe des utilisateurs lors du processus de configuration, mettant ainsi ces informations en danger en cas de piratage.
Vous ne devez jamais ajouter d'informations confidentielles àun appareil intelligent, sauf si vous êtes absolument certain qu'il est sécurisé. Bien sûr, certains appareils pourraient ne pas le permettre. La clé de télévision Amazon Fire, par exemple, contiendra vos informations de carte de crédit, Amazon, Gmail et Amazon. Mais Amazon est une marque en laquelle nous pouvons avoir confiance. De plus, comme nous allons en discuter, nous pouvons sécuriser notre réseau domestique pour rendre plus difficile l’accès de notre appareil à une personne extérieure.
Choisissez judicieusement vos appareils intelligents - En avez-vous vraiment besoin?
N'achetez que les appareils intelligents dont vous avez besoin. Oubliez le facteur «cool» d'avoir le dernier et le plus grand interrupteur de lumière compatible Web. Et lorsque vous pouvez l'éviter, ne vous connectez pas à Internet pour des choses qui n'en ont pas absolument besoin. Par exemple, supposons que vous ayez une télévision connectée et une console de jeu Xbox ou PlayStation moderne. Vous pourriez peut-être laisser votre téléviseur non connecté à Internet et regarder Netflix sur votre console de jeux?
Sécurisez votre connexion au réseau domestique
Tout d’abord, vous devez changer votre Internetmot de passe du routeur. Même s'il semble s'agir d'une chaîne de caractères apparemment aléatoire, elle doit être changée. Et vous devez également vous assurer que votre réseau WiFi utilise une connexion cryptée WPA2-PSK.
Pour un maximum de sécurité et de confidentialité, utilisez un VPN
Un réseau privé virtuel, ou VPN, est l’un desmeilleurs outils que l’on puisse utiliser pour accroître la sécurité et la confidentialité en ligne. Un VPN fait sa magie en cryptant toutes les données entrant et sortant du périphérique protégé en utilisant un cryptage fort qui rend impossible le crack. Une fois les données cryptées, elles sont envoyées à un serveur VPN distant via un tunnel virtuel sécurisé, d'où leur nom.
Avec un VPN, quiconque interceptant vos données ne sera pasêtre capable de donner un sens et n'aura aucune idée de ce que les données sont et où elles vont. Et un VPN rendra également vos appareils plus difficiles à pirater de l'extérieur, car le client n'autorisera souvent que les données entrantes du serveur VPN. Et si vous souhaitez protéger tout votre réseau domestique, vous pouvez configurer un VPN sur votre routeur Internet, protégeant ainsi chaque appareil.
Il y a beaucoup trop de fournisseurs de VPN sur le marché. Et ils semblent tous avoir des caractéristiques similaires. Choisir celui qui répond le mieux à vos besoins peut rapidement devenir un défi. Parmi les principaux facteurs à prendre en compte, une vitesse de connexion rapide garantira le bon fonctionnement de vos applications à bande passante élevée, une politique de non-journalisation stricte protégera davantage votre vie privée, aucune restriction d'utilisation ne permettra à vos appareils et systèmes d'accéder à tout contenu à la vitesse et Un logiciel pouvant être installé sur un routeur vous permettra de protéger toute votre maison.
Le meilleur VPN pour la couverture de toute la maison - IPVanish
Nous avons testé de nombreux fournisseurs de VPN et celui que nous recommandons d’installer sur un routeur domestique est IPVanish. Il comporte un réseau mondial de centaines deServeurs puissants, aucune limitation de vitesse ou limitation, bande passante illimitée, trafic illimité et politique de non-journalisation stricte. Et pour une protection complète de la maison, IPVanish fournit des instructions de configuration détaillées pour les marques de routeurs les plus connues et, mieux encore, a établi des partenariats avec trois fournisseurs proposant des routeurs avec un logiciel client IPVanish préinstallé. IPVanish offre vraiment d'excellentes performances et une valeur impressionnante
En conclusion
La sécurisation des appareils IoT est une chose à laquelle nous pourrions avoir tendanceoubliez pas mais c’est certainement quelque chose que nous devrions garder à l’esprit. Les attaques sur ces appareils pourraient avoir des conséquences désastreuses non seulement pour vous, mais pour la communauté en général. Vous pouvez prendre plusieurs mesures pour vous assurer que vos appareils connectés à Internet sont aussi sûrs que possible. Et pour assurer la sécurité de votre réseau domestique, vous devriez peut-être envisager d'installer un client VPN directement sur votre routeur Internet.
commentaires