mercredi 29 janvier 2014

Internet des objets : le cri d’alarme de Bruce Schneier

A lire sur: http://www.linformaticien.com/actualites/id/31569/internet-des-objets-le-cri-d-alarme-de-bruce-schneier.aspx

par Stéphane Larcher, le 07 janvier 2014 10:19

Spécialiste de réputation mondiale en matière de sécurité IT, Bruce Schneier explique dans une tribune que le monde court à la catastrophe si des mesures énergiques ne sont pas prises en matière de sécurisation des objets connectés.
Intervenant depuis de nombreuses années dans les plus grandes conférences dédiées à la sécurité IT, Bruce Schneier n’a jamais brillé par son optimisme quant à la sécurité IT mais tel n’est pas son rôle. En effet, il met en permanence le doigt là où cela fait mal dans l’espoir que les acteurs de l’industrie comme les utilisateurs prennent plus conscience des dangers qui les guettent. Jusqu’à présent, si notre homme n’a pas prêché dans le désert, il n’a pas non plus été écouté à la hauteur de ses attentes.
Hier dans une tribune publiée sur le magazine Wired et accessible à cette adresse, il met en exergue l’absence de sécurité des objets connectés, des appareils qui les relient (les routeurs en particulier) et la quasi impossibilité de « patcher » les failles qui affectent les objets. L’article débute ainsi : « Nous sommes désormais à un point de crise en ce qui concerne la sécurité des systèmes embarqués, où l’informatique est embarquée dans le matériel lui-même – comme pour l’internet des objets. Ces systèmes embarqués sont criblés de vulnérabilités et il n’y a pas de bon moyen pour les patcher ».

Plus de la moitié des routeurs piratables

M. Schneier remonte ensuite la longue histoire de la sécurité informatique en relatant les difficultés similaires avec les logiciels dans le milieu des années 90 jusqu’à ce que les constructeurs et éditeurs de logiciels prennent le problème à bras le corprs et commencent à proposer des solutions plus efficaces, en particulier au travers de mises à jour automatiques. 
Mais, ajoute-t-il, le problème est radicalement différent car tous les ordinateurs sont connectés et les routeurs et modems qui assurent les connexions sont plus puissants que les ordinateurs de la période précitée. Il prend ensuite comme exemple une démonstration effectuée l’été dernier au Defcon où plus de la moitié des 30 routeurs domestiques testés ont été piratés par un hacker.

Des centaines de millions de périphériques non patchés

Il explique ensuite la nature de ces objets connectés équipés de puces provenant de Qualcomm, Marvell ou Broadcom et généralement des morceaux de Linux, de composants Open Source agrémentés de quelques technologies propriétaires. Le problème ne réside pas tant dans le système Linux mais dans les versions des "paquets" qui sont installés. Reprenant l’exemple des routeurs domestiques évoqués plus haut, il souligne que la plupart sont équipés de versions de Linux qui ont plus de 4 ans et de systèmes de gestion de fichiers Samba âgé d’au moins 6 ans, le tout avec l’absence de sources. Certes, il existe bien les sources de ces applications mais dans les fameux objets, il ne s’agit que de « binary blobs » très difficiles voire impossibles à patcher. Particulièrement pour des utilisateurs peu familiers de ces techniques. 
« Le résultat est que des centaines de millions de périphériques sont assis sur l’Internet, non patchés et non sécurisés, depuis les 5 à 10 dernières années ». Bruce Schneier cite ensuite le cas d’un piratage au Brésil ayant affecté 4,5 millions de routeurs DSL ou encore une récente alerte de Symantec signalant un ver s’attaquant aux routeurs, caméras et autres périphériques embarqués en ajoutant que l‘Internet des Objets va rendre le problème encore plus aigu.

Aucun commentaire:

Publier un commentaire