Publicité

Bâtiments intelligents. (Photo d'illustration Musée de la Confluence Lyon, Ben_Kerckx Pixabay CC).

Quand la complexité des bâtiments intelligents ouvre de nouvelles brèches aux hackers

Maisons connectées, bâtiments intelligents… si les appellations peuvent changer, leur fonctionnalité reste la même. À savoir : permettre aux individus de faciliter leur quotidien en interagissant avec leur lieu de vie. Cela qu’il s’agisse du domicile familial ou du bureau. Ce système présente pourtant de nombreuses failles.
Si le film I.T. (de John Moore, sorti en 2016) en a montré quelques-unes, cet article en dit davantage sur les manières de prendre possession d’un lieu lorsqu’on en n’a pas les clés.

L’Internet des objets n’est pas une simple vision futuriste. C’est une réalité qui a déjà transformé nos modes de vie et notre manière de travailler. D’après les projections du cabinet Gartner, plus de 14 milliards d’objets connectés seront utilisés en 2019, chiffre qui devrait atteindre 25 milliards en 2021.

Beaucoup de ces objets ont trait à la domotique et aux bâtiments d’entreprises. Or lorsqu’ils sont connectés ensemble via des plateformes d’automatisation, certains problèmes font surface.

Ce type de configuration, qu’on appelle environnements IoT complexes, présente en effet de nouvelles failles permettant aux hackers de lancer des attaques à la fois physiques et numériques…

Une mauvaise nouvelle pour les professionnels de la sphère IT qui réalisent ainsi que la surface d’attaque des entreprises augmente.

L’âge connecté

L’IoT offre des perspectives qui relevaient encore de la science-fiction il y a près de dix ans. La domotique et les bureaux connectés offrent des niveaux de commodité, de loisirs, de sûreté et de productivité jamais vus jusqu’ici.

À l’ère de l’IoT, tous les objets du quotidien – des appareils électroménagers aux verrous des portes et fenêtres, en passant par les caméras de sécurité ou les haut-parleurs – sont réinventés. Toutefois, si chacun de ces objets présente un réel intérêt, c’est lorsqu’ils sont appariés pour interagir ensemble qu’ils révèlent tout leur potentiel.

C’est là que les plateformes d’automatisation IoT entrent en jeu.

Les serveurs d’automatisation tels que FHEM et Home Assistant permettent d’intégrer et de contrôler les objets à partir d’une seule et même interface simple d’utilisation. Ces serveurs peuvent par exemple mesurer des données telles que la température ambiante ou la consommation d’énergie… Ou encore permettre d’automatiser l’éclairage ou le chauffage.

Ainsi, grâce aux plateformes d’automatisation, il est aujourd’hui possible de demander à un assistant numérique de vérifier si toutes les portes et fenêtres d’un immeuble sont bien fermées.

Cependant dans un environnement IoT complexe, plus il y a d’objets et d’actions à coordonner, plus le risque d’erreur augmente, entraînant de ce fait des problématiques de gestion et de débogage.

Une situation susceptible de s’aggraver si, comme cela est souvent le cas, les serveurs d’automatisation sont mal sécurisés ou configurés.

Exposition en ligne

De nombreux serveurs d’automatisation IoT en open-source, à l’image de FHEM, sont dépourvus de fonctionnalités de sécurité (protection par mot de passe activée par défaut, par exemple) ou n’incitent pas les utilisateurs à activer les paramètres de sécurité.

Ces derniers se retrouvent donc à la merci des hackers qui peuvent les trouver par une simple recherche via le moteur Shodan.

En théorie, les attaquants peuvent ainsi infiltrer le serveur d’automatisation et :

  • Reprogrammer les règles ;
  • Subtiliser des données sensibles codées en dur ;
  • Ajouter de nouveaux objets au réseau ;
  • Infecter des appareils avec des malwares ;
  • Ou encore affilier des objets à des botnets.

Et cela ne s’arrête malheureusement pas là… Penchons-nous plus en détail sur ces menaces pour mieux comprendre le phénomène.

Les attaquants peuvent par exemple tromper les systèmes de fermeture intelligents munis d’un détecteur de présence, en ajoutant un objet « fantôme » à la liste des objets reconnus, puis en réglant le statut de cet objet comme toujours « présent » à l’intérieur du bâtiment. Ce qui permet de garder les accès ouverts.

Les hackers peuvent également lancer en simultané une attaque de surveillance consistant à configurer le système d’automatisation pour que celui-ci envoie des messages rendant compte de l’activité du bâtiment à une plateforme de messagerie complice.

En analysant les alertes de détection de mouvements communiquées par les caméras connectées autour du bâtiment, les pirates peuvent ainsi obtenir des informations qui leur permettront de connaître le meilleur moment pour s’introduire dans un lieu sécurisé.

Autre cas de figure : en piratant un serveur d’automatisation, les hackers peuvent cloner une voix humaine puis la reproduire via un haut-parleur intelligent… De façon à déjouer les contrôles de reconnaissance vocale en vue d’effectuer une série d’actions, comme désactiver le système d’alarme d’un bâtiment ou ouvrir les portes d’accès.

Les serveurs d’automatisation exposés peuvent également fournir aux attaquants des :

  • Données personnelles codées en dur ;
  • Identifiants ;
  • Mots de passe d’appareils connectés…
  • Ou encore des clés API des objets.

Forts de ces informations, les hackers peuvent connaître la situation du bâtiment en temps réel, puis pirater le routeur sans fil afin de surveiller le trafic de données entrantes et sortantes.

Cependant, l’attaque la plus grave est peut-être celle de l’erreur logique, qui exploite une négligence du système : une fois que des règles automatisées ont été mises en place, celles-ci ne sont pas toujours visibles de l’utilisateur.

On peut ainsi créer une règle à l’insu du propriétaire d’un bâtiment (particulier ou entreprise) selon laquelle une alarme ne va pas retentir ou une lumière ne pas s’allumer en cas d’effraction.

La marche à suivre

bâtiments d’entreprises – à des risques d’effractions physiques et de vols de données.

Les télétravailleurs peuvent également être la cible d’attaques visant à infiltrer les réseaux d’entreprise ou à dérober des données sensibles rapportées du bureau.

Dans ce contexte, les acteurs de la sécurité informatique doivent donc envisager d’étendre aux bâtiments intelligents les pratiques de base en matière de cyberdéfense… tout en veillant à ce que ces pratiques soient transparentes pour l’utilisateur final.

Parmi celles-ci, on peut citer :

  • L’activation de la protection par mot de passe pour tous les objets connectés ;
  • Le remplacement des mots de passe par défaut par des identifiants uniques et robustes ;
  • Ou bien la modification d’autres paramètres par défaut, tels que Telnet sur les webcams.

Le firmware des objets connectés doit être mis à jour le plus régulièrement possible, même si cela peut poser des problèmes de continuité opérationnelle.

Il faut donc appliquer le principe de diligence raisonnable à l’égard des nouveaux fournisseurs, pour s’assurer que les produits et systèmes IoT soient aussi sécurisés que possible dès leur première utilisation et que leur maintenance soit relativement aisée.

La liste des bonnes pratiques ne s’arrête pas là. On peut également :

  • Activer le chiffrement pour le stockage et les communications ;
  • Appliquer la norme de sécurité WPA2 pour les routeurs Wi-Fi ;
  • Désactiver le protocole UPnP (Universal Plug and Play) ;
  • Et autoriser l’accès au réseau uniquement à une liste d’adresses MAC codées en dur.

Il est également important que les équipes informatiques sauvegardent régulièrement les fichiers contenant les règles de configuration et d’automatisation des serveurs d’automatisation IoT.

La segmentation du réseau peut contribuer à mieux protéger les jeux de données sensibles… Tandis que des outils de surveillance et d’auto-évaluation peuvent servir à mieux comprendre les niveaux de sécurité de base, les vulnérabilités potentielles, les risques et les mesures d’atténuation.

Il n’existe pas d’approche uniforme pour contrer les attaques visant les plateformes d’automatisation IoT. Mais à mesure que les bâtiments qui nous entourent feront intervenir des chaînes de plus en plus complexes d’objets connectés, les stratégies de sécurité informatique n’auront d’autre choix que d’intégrer cette variable dans l’équation.

Renaud Bidou.

Renaud Bidou
Directeur Technique Europe du Sud, Trend Micro.