Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2016-ACT-006

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 08 février 2016
No CERTFR-2016-ACT-006

Affaire suivie par :

CERT-FR

Objet : Bulletin d'actualité CERTFR-2016-ACT-006

1 - Risques liés à l'utilisation d'objets connectés sur un réseau d'entreprise

Introduction

Depuis plusieurs années, la tentation d'utiliser des objets connectés sur un réseau d'entreprise s'amplifie. Bien évidemment, on pense en premier lieu aux téléphones intelligents, mais également à une multitude d'objets issus du phénomène de l'Internet des Objets ("Internet of Things" ou IoT en anglais). Le déploiement d'ampoules connectées permettrait ainsi de mieux maîtriser la consommation énergétique de l'entreprise, tout en instaurant une ambiance propice au travail. De même, qui n'a pas rêvé de disposer d'une cafetière ou d'une bouilloire connectée, déclenchable à distance au moment du départ du domicile et qui serait prête dès l'arrivée au bureau ? Cependant, la plupart de ces objets ont été conçus dans une atmosphère où la créativité primait sur la sécurité : il en résulte un niveau de sécurité très variable, comme l'illustre la série de vulnérabilités qui ont été récemment annoncées sur ce type d'équipements. Enfin, après avoir ciblé le secteur des particuliers, les constructeurs s'orientent de plus en plus vers le marché des entreprises, voire du commerce "business to business". L'étude des risques et contremesures associés à l'utilisation de ces objets connectés est donc primordiale pour ne pas affaiblir la sécurité globale du système d'information.

Caractérisation des risques

L'utilisation d'objets connectés implique de nouveaux risques, au niveau des données manipulées et des vulnérabilités introduites par ces systèmes.

Traitement des données à caractère personnel

Les objets connectés peuvent collecter un nombre important de données à caractère personnel. Ces données peuvent aller de l'état de santé d'une personne (dans le cas d'un bracelet connecté par exemple), jusqu'aux empreintes digitales des propriétaires (pour une serrure connectée par exemple). Ces données peuvent être stockées localement sur les systèmes, mais aussi être exploitées par des solutions en infonuage. Par exemple, certains systèmes de vidéosurveillance personnelle ou professionnelle stockent les enregistrements sur Internet sans protection. Dans la mesure où il s'agit de données à caractère personnel, il est donc important de s'assurer de leur confidentialité.

Introduction de vulnérabilités

Les systèmes embarqués dans les objets connectés sont généralement difficiles d'accès, et il est ainsi compliqué de les intégrer dans un processus de sécurisation. Les mises à jour de tels systèmes étant peu fréquentes, l'impact d'une vulnérabilité telle que Heartbleed ou Shellshock est très important. Cet impact est encore plus important quand ces objets connectés sont reliés à un réseau critique, tel qu'un système de contrôle industriel ou une voiture.

Exploitabilité

De plus en plus d'acteurs malveillants s'intéressent à l'exploitation des vulnérabilités présentes sur les objets connectés. Certains moteurs de recherche permettent d'identifier celles-ci sur Internet, et donc de prendre le contrôle des systèmes vulnérables. Dans ce contexte, un objet connecté peut servir de point d'entrée ou de rebond au sein d'un réseau.

Contremesures

Pour les constructeurs, afin de lutter contre les cybermenaces apportées par l'utilisation d'objets connectés, il est essentiel d'intégrer la prise en compte de la sécurité dès leur conception. Dans le cadre des objets connectés déjà en exploitation, il est important de mettre en place des mesures permettant de contrôler les données personnelles et techniques manipulées, afin d'éviter d'en perdre le contrôle. De même, l'application des mises à jour de sécurité, si possible, permet de corriger les vulnérabilités présentes dans ces systèmes. Enfin, il est conseillé de ne pas connecter ce type d'équipements sur les systèmes d'information critiques.

Conclusion

Le CERT-FR recommande la plus grande prudence vis-à-vis de l'apport des objets connectés dans un réseau d'entreprise.

Documentation


2 - Rappel des avis émis

Dans la période du 01 au 07 février 2016, le CERT-FR a émis les publications suivantes :

  • CERTFR-2016-AVI-044 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
  • CERTFR-2016-AVI-045 : Multiples vulnérabilités dans les produits Cisco
  • CERTFR-2016-AVI-046 : Multiples vulnérabilités dans Asterisk
  • CERTFR-2016-AVI-047 : Multiples vulnérabilités dans les produits Cisco
  • CERTFR-2016-AVI-048 : Multiples vulnérabilités dans WordPress

Gestion détaillée du document

08 février 2016
version initiale.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2016-ACT-006

CERT-FR
2016-02-08
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-21