2. Problèmes de
sécurités rencontrés sur les objets connectés
2.1. Vulnérabilités des objets
connectés
Pour pouvoir exposer plus facilement les
vulnérabilités des objets connectés, nous avons
adopté le rapport OWASP. Le projet OWASP [7] internet des objets explore
et publie les risques de sécurité liés à l'Internet
des objets, afin d'aider les développeurs, les fabricants et les
consommateurs à mieux les comprendre pour améliorer la
conception de leurs applications pour objets connectés.
Figure 4 : le
top 10 vulnérabilités des objets connectés selon
l'OWASP
2.1.1. Mots de passe faible,
prévisibles ou codés en dur
|
La plupart des objets, surtout ceux qui possèdent des
interfaces web ne sont pas configurés pour permettre aux utilisateurs de
changer facilement les mots de passe par défaut ou pire ce genre de
modification est impossible. Ce qui rend ces objets vulnérables aux
attaques qui se basent sur cette faiblesse. Leur système d'autorisation
est donc faillible.
De plus ces informations d'identifications peuvent être
facilement forcés, sont parfois accessibles via des sites de hackers,
le dark web ou juste des sites de développeurs.
2.1.2. Services réseaux non
sécurisés
L'attaquant utilise des services réseau
vulnérables tels que Telnet ou HTTP pour attaquer l'appareil
lui-même ou faire rebondir les attaques sur l'appareil.
Les services réseau non sécurisé peuvent
être sujets à des attaques par débordement de tampon ou
à des attaques qui créent une condition de déni de service
laissant le périphérique inaccessible à l'utilisateur. Les
attaques par déni de service contre d'autres utilisateurs peuvent
également être facilitées lorsque les services
réseau non sécurisés sont disponibles. Les services
réseau non sécurisés peuvent être
détectés par des outils automatisés tel qu'un scanner de
ports.
Les services réseau non sécurisés
peuvent entraîner la perte ou la corruption de données, le
déni de service ou la facilitation d'attaque sur d'autres appareils.
2.1.3. Interfaces de
l'écosystème non sécurisé
Les interfaces comme le web, le cloud, le mobile ou des API
qui permettent à l'utilisateur d'interagir avec des équipements
intelligent peuvent avoir des vulnérabilités dans
l'implémentation de l'authentification/l'autorisation ou une absence
totale de ceux-ci, des faiblesses dans le chiffrement des données
(faible ou absent), le filtrage des données, etc.
Les interfaces non sécurisées peuvent conduire
à une prise de contrôle complète de l'appareil.
|