IoT : un rapport Trend Micro dévoile les risques liés aux bâtiments intelligents

Avec le développement des objets connectés et de la domotique, les entreprises sont confrontées à de nouvelles menaces susceptibles de nuire à la sécurité physique des bâtiments tout comme à la sécurité des données

Tags : @TrendMicro @TrendMicroRSRCH  #cybersécurité #IoT #IIoT #smartbuildings #Cloud

Rueil-Malmaison, le 13 mars 2019Trend Micro, entreprise japonaise et leader mondial des solutions et logiciels de sécurité, annonce la publication d’une étude Intitulée « Cybersecurity Risks in Complex IoT Environments: Threats to Smart Homes, Buildings and Other Structures ». Celle-ci révèle notamment que les plateformes d’automatisation IoT des bâtiments intelligents offrent aux cybercriminels de nouvelles brèches, aussi bien pour infiltrer les espaces physiques que les Systèmes d’Informations de ces derniers. Selon cette étude, il existe de nombreux risques pour les entreprises installées dans des bâtiments intelligents (espionnage des utilisateurs, ouverture des portes et vol de données, …), de même que pour les collaborateurs pratiquant le télétravail dans un environnement personnel connecté*.

Conduite par les chercheurs de Trend Micro, l’étude attire l’attention sur le fait que les plateformes d’automatisation sont de plus en plus utilisées pour relier plusieurs appareils connectés, créant ainsi des applications intelligentes faciles d’utilisation, mais laissant involontairement place à de nouvelles surfaces d’attaques qui peuvent s’avérer difficiles à protéger.

« Les objets connectés, leur utilisation et les environnements dans lesquels ils sont utilisés sont de plus en plus sophistiqués. Malheureusement, ces appareils ne bénéficient pas toujours de systèmes de sécurité intégrés », explique Loïc Guézo, Stratégiste Cybersécurité Europe du Sud, Trend Micro. « À l’heure actuelle, des données personnelles et professionnelles peuvent transiter par plusieurs routeurs, un point de contrôle IoT et divers protocoles IoT, voire davantage, et ce en une seule et même journée. C’est le scénario rêvé pour les cybercriminels : pourquoi s’attaquer à une entreprise bien protégée quand la maison intelligente d’un télétravailleur est si vulnérable ? », remarque-t-il.

L’étude pointe l’existence de trois types de systèmes d’automatisation majeurs au sein des bâtiments intelligents, que ces derniers soit initialement conçu pour intégrer des objets connectés ou non : les serveurs locaux autonomes, les serveurs Cloud et les serveurs basés sur des assistants virtuels. La première catégorie est la plus commune. C’est pourquoi, dans le cadre de son étude, Trend Micro a mis en place deux types de serveurs (des serveurs d’automatisation domotique[1] et des serveurs Home Assistant) pour contrôler 100 objets connectés témoins répartis sur deux sites.

Selon un récent rapport du Gartner, il y aura 25,1 milliards d’objets connectés à Internet à l’horizon 2021, soit une croissance de 32 % par an et « l’augmentation des objets connectés pourra se résumer de la manière suivante : tout ce qui pourra être connecté à Internet finira par l’être. »[2]

L’étude Trend Micro soulève un inconvénient majeur : la complexité des règles d’automatisation augmente à mesure que de nouveaux objets et actions sont ajoutés au réseau. Il devient donc de plus en plus difficile de gérer, de suivre et de déboguer ces règles sujettes aux erreurs, d’autant plus lorsque plusieurs règles entrent en conflit.

Les chercheurs Trend Micro mettent également en garde contre toute une série de nouvelles menaces propres aux environnements IoT complexes, telles que :

Ils soulignent par ailleurs que de nombreux serveurs d’automatisation IoT sont visibles publiquement sur le Web, parmi lesquels 6 200 serveurs Home Assistant accessibles via une simple recherche sur le moteur spécialisé Shodan. Les cybercriminels peuvent alors profiter de ces informations pour s’introduire dans des bâtiments intelligents, reprogrammer les règles d’automatisation, dérober des données sensibles codées en dur (y compris les identifiants des routeurs), ajouter de nouveaux objets connectés, infecter des appareils avec des malwares ou encore détourner des objets pour les incorporer à des botnets.

Trend Micro recommande ainsi certaines mesures de précaution permettant de réduire les risques associés aux environnements IoT complexes :

 

Pour découvrir le rapport dans son intégralité : https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/threats-and-risks-to-complex-iot-environments.

[1] Serveurs open source pour l’automatisation de la maison (FHEM)

[2] Rapport Gartner 2018  “How to Secure the Enterprise Against the Internet of Things Onslaught”, Jon Amato, Mark Judd

À propos de Trend Micro

Leader mondial de solutions de cybersécurité, Trend Micro Incorporated (TYO: 4704; TSE: 4704) a pour mission de sécuriser les échanges d’informations numériques. Nos solutions pour le grand public, les entreprises et les organisations gouvernementales, déploient une sécurité multicouche pour les data centers, les environnements Cloud, les réseaux et les Endpoints. Tous nos produits sont compatibles entre eux et travaillent ensemble sur la détection de menaces offrant ainsi une stratégie de défense connectée avec une visibilité et un contrôle centralisés et une protection accrue.

Fort de plus de 6 000 salariés présents dans plus de 50 pays, et disposant d’une technologie de détection des menaces parmi les plus avancées au monde, Trend Micro permet de sécuriser votre monde connecté.

Plus d’informations sur les produits et services de Trend Micro sur www.trendmicro.fr.

Suivez-nous sur notre blog et sur Twitter