Tribune Libre par Hervé Dhelin, Stratégie SVP chez EfficientIP
On nous avait promis une vie meilleure le jour où tout serait connecté. Les fabricants y ont également vu une superbe opportunité de se positionner sur un nouveau créneau. Résultat : tout le monde était content puis dépité en découvrant les énormes répercussions, les pirates étant perpétuellement en quête de nouvelles occasions d'atteindre leurs objectifs.
Des périphériques non sécurisés
Les nouveaux périphériques connectés ont été accueillis comme s'ils étaient le nouveau Graal, mais en tant que spécialistes informatiques, nous savons que les cyber-attaques ne sont pas des légendes et nous devons veiller sur la sécurité de nos biens, de nos familles et de nos entreprises.
Dès que nous sommes face à un système d'exploitation, il est impératif de le sécuriser contre les menaces internes ou externes. Tout OS doit être suffisamment sécurisé pour ne pas être facilement accessible par n'importe qui. Par défaut, les objets connectés ne seront pas gérés et maintenus par l'utilisateur final. C'est là un fait qui a toute son importance et que nous devons prendre en considération. Ma grand-mère n'appliquera jamais un patch de sécurité sur son réfrigérateur connecté en cas de publication d'une vulnérabilité zero-day !
Dans la pratique habituelle, les périphériques connectés sont au moins reliés à un réseau local et très souvent à Internet pour en fournir les services. Nous savions qu'ils avaient été créés pour cela, alors pourquoi sommes-nous surpris par la situation actuelle et pourquoi n'avons-nous pas préparé notre réseau en vue de cette nouvelle donne ?
Tout d'abord, les fabricants de périphériques connectés doivent se montrer plus sérieux et professionnels et proposer du logiciel plus sécurisé. S'ils ne sont pas eux-mêmes spécialistes de l'informatique, ils devront embaucher ou travailler avec des spécialistes informaticiens pour être sûrs de ne pas vendre des millions d'appareils qui finiront pas servir les desseins de la cybercriminalité. S'ils ne renforcent pas le niveau de sécurité de ce qu'ils vendent aux consommateurs, personne ne pourra échapper aux cyberattaques et les équipes informatiques vivront de plus en plus sur le qui-vive.
Si nous ne pouvons pas partir du principe que les dispositifs connectés sont totalement sécurisés contre le piratage, les équipes informatiques doivent de nouveau se pencher sur la question de la sécurisation de leur réseau. Tout étant désormais basé sur le protocole IP, un service est essentiel pour TOUTES les applications, à savoir le serveur DNS.
Le nouveau vecteur dont il convient de se méfier
Récemment, des cyber-attaques basées sur les objets connectés ciblaient cette partie de l'infrastructure réseau. Pour les pirates informatiques, il s'agit du nouveau composant le plus facile à cibler ou même à utiliser comme vecteur pour lancer des attaques.
Jusqu'à présent, nous avons vu des appareils connectés infectés par du logiciel malveillant, qui envoyaient des requêtes au DNS interne et l'inondaient jusqu'à ce qu'il ne soit pas en mesure de répondre, rendant l'utilisateur et les applications incapables de travailler. Selon un rapport récent de Cisco, 91% des logiciels malveillants utilisent réellement le DNS pour mener leurs campagnes. Nous avons également vu des exemples où des centaines de milliers d'appareils infectés commençaient à inonder une infrastructure de fournisseur de DNS basée dans le cloud et rendaient des milliers de sites ou d'applications inaccessibles depuis Internet. Vous souvenez-vous de Dyn ?
Dans les deux cas, les réseaux étaient protégés par des solutions de sécurité, « parés pour le combat », mais malheureusement inefficaces pour protéger ce composant réseau essentiel. Lorsque l'on sait que tout ce qui fait une entreprise repose sur un seul service, il convient de sécuriser ce dernier correctement et d'arrêter d'imaginer que le pare-feu historique suffira à le protéger. La plupart des solutions de sécurité existantes sont aveugles et incapables de sécuriser les services DNS comme l'on pourrait s'y attendre. Elles n'ont pas été développées pour comprendre le protocole DNS et ne les protègent pas convenablement alors que depuis deux ans, DNS est le protocole le plus attaqué, d’après un récent rapport Cisco. Nous devons repenser la sécurité. Sinon, il faudra nous expliquer pourquoi les organisations subissent des dommages épouvantables tels que l'interruption d'activité ou la perte de données à la suite d'une attaque à partir d’appareils connectés dont nous savions qu'elle se produirait tôt ou tard.
Le DNS comme défense active
Les fournisseurs de sécurité et les services informatiques doivent agir rapidement. S'ils ne peuvent pas complètement sécuriser les appareils connectés, ils doivent limiter l'impact des attaques générées par leur intermédiaire :
- Attaque volumétrique : les serveurs de DNS subissant ce type d’attaque peuvent être inondés et provoquer leur effondrement. Les services réseau doivent par conséquent s'assurer que leur infrastructure DNS est en mesure de prendre en charge une charge importante.
- Attaque Lente: les solutions existantes telles que les murs pare-feu ne sont pas suffisamment robustes pour les protéger de manière fiable. Le serveur de DNS lui-même doit comprendre ce qui se passe et filtrer le trafic non légitime afin d'atténuer l'attaque, même si celle-ci est de petite envergure et non détectable par la solution traditionnelle.
Le serveur de DNS doit également être en mesure de détecter les utilisations plus insidieuses qui sont faites du réseau, lorsque les pirates tentent d'exfiltrer des données par son intermédiaire. Une étude récente montre que 39% des organisations ont subi l'exfiltration de données de cette façon !
Ce nouvel ennemi peut facilement être vaincu si nous consacrons le temps et les ressources nécessaires pour mettre la bonne protection en place. Sinon, nous risquons d'être vaincus par de simples caméras ou distributeurs de boissons connectés. Sommes-nous prêts à accepter cela ?