Internet des objets : des lave-vaisselles sécurisés ? Bientôt une nécessité ?

Le par  |  11 commentaire(s)
IoT

Retrouvez comme chaque semaine l'avis d'un expert concernant cette fois-ci l'Internet des objets et sa sécurisation.

Avis d'expert par Houssem Ben Abderrahman - responsable Grands Comptes chez Flexera Software

Il y a quelques mois, une alerte de sécurité a été émise concernant... un lave-vaisselle. Cet appareil commercial contenait en effet une vulnérabilité Directory Traversal critique qui aurait pu permettre aux pirates d'exploiter et d'accéder à des informations sensibles.

Pire, aucun patch n'était disponible pour cette faille, mettant ainsi en évidence un risque craint par de nombreux professionnels de la sécurité : celui que des fabricants traditionnels cherchant à lancer leurs produits en premier ne soient pas en mesure de protéger ces appareils intelligents et connectés.

À l'heure où la sécurité passe encore souvent au second plan, les fabricants de produits grand public doivent aujourd'hui s'assurer d'avoir un plan de gestion des correctifs pour parer à l'éventualité d'une vulnérabilité.

Combler le fossé avec les fabricants

Pour beaucoup, la découverte d'une faille dans un lave-vaisselle est un exemple de plus d'un manquement au niveau de la sécurité des consommateurs. Pourtant, cela n'a rien d'une surprise... Les constructeurs du monde entier rivalisent afin d'intégrer les toutes dernières innovations à leurs produits, notamment pour en faire des appareils « intelligents ». L'essor de l'Internet des Objets (IdO) les pousse en dehors de leur zone de confort, en particulier pour ce qui est du développement et de la sécurité des logiciels.

Intel IoT

Face à la prolifération des produits connectés à Internet, les fabricants doivent dorénavant mettre davantage l'accent sur la sécurité lors de la phase de développement. Cela implique de tester minutieusement le code, d'assurer une maintenance en continu, de mapper soigneusement les logiciels intégrés et de se tenir informé de leurs potentielles vulnérabilités. Il leur faut également d'amples ressources pour réagir rapidement et efficacement le cas échéant.

Dans le cas de ce lave-vaisselle, il n'existait aucun patch connu. Ce genre de problèmes doit donc être géré au cours de la phase de développement. Heureusement, de nouvelles technologies sont disponibles pour permettre aux constructeurs de déployer des mises à jour forcées vers les clients (afin de réduire les vulnérabilités et les risques potentiels). Cependant, il leur faudra malgré tout mettre en place des stratégies de gestion des vulnérabilités, c'est indispensable !

Beaucoup de fabricants n'ont tout simplement aucune idée des défis concrets liés à l'IdO : aucun appareil connecté à Internet n'est sécurisé à 100 %, et le risque de piratage ne peut jamais être écarté. Il est donc essentiel de mettre en place une stratégie de gestion des vulnérabilités.

La sécurité doit être une priorité absolue

La sécurité des applications doit être la priorité des fabricants d'équipements : avec l'essor de l'IdO, les pirates lancent chaque jour des attaques plus sophistiquées.

Beaucoup de conseils ciblent les entreprises ou les consommateurs de dispositifs connectés. Cependant, si ces appareils ne sont pas sécurisés, il n'y a pas grand-chose à faire. La responsabilité est celle des fabricants, qui doivent fournir des applications sécurisées ; faire en sorte qu'elles ne puissent pas être piratées ; et être en mesure de déployer rapidement des mises à jour et des patches de leurs logiciels et firmwares.

La notion de sécurité doit donc être une considération omniprésente. Il est important que ces processus soient stables, sécurisés, et fonctionnent même au sein des écosystèmes IdO les plus étendus, là où les logiciels font partie d'une chaîne d'approvisionnement plus vaste, ou dans les cas où ils seraient proposés aux côtés d'applications d'autres éditeurs.

Les logiciels open source

Les logiciels open source sont fréquemment utilisés par quasiment tous les développeurs et dans pratiquement toutes les solutions IdO. Malgré leur omniprésence, ces composants ne font généralement l'objet d'aucune gestion, ce qui signifie que les développeurs sont incapables de suivre et de maîtriser les vulnérabilités au niveau de leur code. L'analyse en continu du code source leur permettra de conserver l'ensemble de ces composants tiers et open source à jour, et de réagir en cas de vulnérabilité.

Une fois ces logiciels déployés, les applications devront être rendues virtuellement inviolables afin qu'il soit extrêmement dur pour les pirates d'accéder au code ou d'en faire quoi que ce soit. En outre, des technologies de sécurisées et matures de gestion des licences devront être appliquées afin que seuls les utilisateurs autorisés ne puissent y accéder.

Enfin, des processus et technologies de mise à jour stables et évolutifs devraient être mis en place dès le premier jour afin que les fabricants puissent mettre à jour les logiciels ou firmwares des appareils sur le terrain si un patch devenait nécessaire, ou en cas de piratage.

Trois conseils pour l'IdO (Internet des objets)

Les fabricants de dispositifs IdO devront suivre les trois conseils suivants pour assurer la sécurité de leurs applications dans le monde de l'IdO :

1. Scanner le code base à la recherche d'OSS et de composants tiers potentiellement criblés de vulnérabilités ;

2. Protéger leurs applications du piratage à l'aide de systèmes de gestion des licences et des applications inviolables ;

3. Se tenir prêt à l'aide d'une solution de mise à jour automatisée et continue des logiciels et firmwares, et réagir rapidement lorsqu'une vulnérabilité nécessite d'être corrigée ou en cas de piratage.

Pour conclure, les dispositifs IdO sont de toute évidence de plus en plus intelligents. Mais comme souvent, l'innovation vient avec son lot de risques. Les fabricants et les organisations doivent donc continuer à se partager la tâche et prendre les précautions nécessaires pour que leurs appareils ne deviennent pas une proie facile pour les criminels.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1987174
Cette pression de l'industrie qui croit trouver un second souffle dans l'internet des objet m'énerve. Franchement: un lave vaisselle connecté... Je me retourne le cerveau et je voit absolument pas ce que cela peut apporter, et sans être complotiste la seule chose valable de l'IDO à mes yeux c'est de créer un immense réseau de machine/serveur alors déjà on peut se poser la question de l'efficience de ce genre de réseau mais également que du point de vu du consommateur cela ne lui apporte strictement rien et lui bouffe même de l’électricité .
Le #1987176
Adarion29 a écrit :

Cette pression de l'industrie qui croit trouver un second souffle dans l'internet des objet m'énerve. Franchement: un lave vaisselle connecté... Je me retourne le cerveau et je voit absolument pas ce que cela peut apporter, et sans être complotiste la seule chose valable de l'IDO à mes yeux c'est de créer un immense réseau de machine/serveur alors déjà on peut se poser la question de l'efficience de ce genre de réseau mais également que du point de vu du consommateur cela ne lui apporte strictement rien et lui bouffe même de l’électricité .


Une mode qui justifie un prix intolérable pour une utilité inexistante ! Un lave-vaisselle connecté... Ca frise la pathologie clinique
Le #1987178
Pareil, je ne vois pas là... Pour tous les appareils basiques de la maison (sans réglages avancés) un programmateur (ou multiprise) connecté suffit amplement, marche/arrêt à distance point barre.
Le #1987184
J'ai retrouvé la ref, [CVE-2017-7240] Miele Professional PG 8528 - Web Server Directory Traversal.
Cela fait froid dans le dos de voir une telle faille en 2017 - lecture du fichier shadow à partir d'un simple GET. De l'amateurisme dans le dev de ce matériel pro.

Le #1987189
C'est du marketing. Ils s'en tapent royalement de savoir si c'est utile au consommateur. le principal c'est que le consommateur y croit. Juste un peu. Juste le temps qu'ils s'en mettent un peu dans les poches.

Je l'ai déjà dit et le répète : que GNT que j'aime beaucoup et depuis longtemps continuent ces "pseudo-tribunes marketing" est assez affligeant.
Le #1987212
Que des enfonçage de portes ouvertes... pour finir par les 3 conseils à la noix:

1. Scanner le code base à la recherche d'OSS et de composants tiers potentiellement criblés de vulnérabilités ;

=>Les vulnérabiltés c'est forcément dans les composant tiers mon bon monsieur, parce que nous on développe un code ultra-sécurisé, à l'épreuve de tout.. (au passage c'est quoi un OSS ???)

2. Protéger leurs applications du piratage à l'aide de systèmes de gestion des licences et des applications inviolables ;

=>Système de gestion des licenses WTF? Applications inviolables ...tout système est inviolable jusqu'à ce qu'il se fasse pirater.

3. Se tenir prêt à l'aide d'une solution de mise à jour automatisée et continue des logiciels et firmwares, et réagir rapidement lorsqu'une vulnérabilité nécessite d'être corrigée ou en cas de piratage.
=>Les portes ouvertes, tout ça...

Et pour finir la conclusion du dernier paragraphe: "...prendre les précautions nécessaires pour que leurs appareils ne deviennent pas une proie facile pour les criminels." voilà, voilà, tout ça pour ça...
Le #1987214
C'est quoi le risque au juste ? Un hacker russe qui démarrer un lavage long à 65°C pendant qu'on est au taff ?
Le #1987217
Truffor a écrit :

C'est quoi le risque au juste ? Un hacker russe qui démarrer un lavage long à 65°C pendant qu'on est au taff ?


En heures pleines surtout .
Le #1987220
zorglub123 a écrit :

Que des enfonçage de portes ouvertes... pour finir par les 3 conseils à la noix:

1. Scanner le code base à la recherche d'OSS et de composants tiers potentiellement criblés de vulnérabilités ;

=>Les vulnérabiltés c'est forcément dans les composant tiers mon bon monsieur, parce que nous on développe un code ultra-sécurisé, à l'épreuve de tout.. (au passage c'est quoi un OSS ???)

2. Protéger leurs applications du piratage à l'aide de systèmes de gestion des licences et des applications inviolables ;

=>Système de gestion des licenses WTF? Applications inviolables ...tout système est inviolable jusqu'à ce qu'il se fasse pirater.

3. Se tenir prêt à l'aide d'une solution de mise à jour automatisée et continue des logiciels et firmwares, et réagir rapidement lorsqu'une vulnérabilité nécessite d'être corrigée ou en cas de piratage.
=>Les portes ouvertes, tout ça...

Et pour finir la conclusion du dernier paragraphe: "...prendre les précautions nécessaires pour que leurs appareils ne deviennent pas une proie facile pour les criminels." voilà, voilà, tout ça pour ça...


OSS = Open Source Software
Le #1987235
yam103 a écrit :

J'ai retrouvé la ref, [CVE-2017-7240] Miele Professional PG 8528 - Web Server Directory Traversal.
Cela fait froid dans le dos de voir une telle faille en 2017 - lecture du fichier shadow à partir d'un simple GET. De l'amateurisme dans le dev de ce matériel pro.


C'est pas tant le fichier shadow, en fait ça permet de lire n'importe quel fichier du filesystem.

Pour moi il y a deux problèmes :

1) la faille de type directory traversal, c'est sale !
2) l'appli tourne en root : intolérable !


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]