Accueil > Tech > Sécurité > Le nombre de failles de sécurité des appareils IoT a doublé depuis 2013
sécurité iot double

Le nombre de failles de sécurité des appareils IoT a doublé depuis 2013

La cybersécurité des appareils IoT ne s’améliore pas au fil du temps, bien au contraire. En menant la même étude en 2013 et en 2019, les chercheurs de l’entreprise Independant Security Evaluators ont découvert que le nombre de failles de sécurité dans les appareils connectés les plus populaires a doublé en six ans…

Avec le temps, on pourrait penser que le nombre de problèmes de sécurité des appareils IoT serait amené à diminuer. Pourtant, en réalité, c’est tout le contraire qui se produit.

En 2013, l’entreprise de recherche ISE (Independant Security Evaluators) publiait une étude  » SOHOpelessly Broken 1.0 « . Cette étude révélait un total de 52 vulnérabilités sur 13 routeurs sans fil SOHO et appareils NAS distribués par des vendeurs tels que Belkin, TP-Link, Asus et Linksys.

En menant à nouveau la même étude en 2019, les chercheurs d’ISE ont découvert plus du double de problèmes de sécurité et de vulnérabilités sur 13 appareils IoT populaires destinés au grand public ou aux entreprises.

Au total, 125 failles ont été découvertes. Ainsi, selon le rapport SOHOpelessly Broken 2.0, des millions d’appareils IoT en circulation sont potentiellement vulnérables.

Dans 12 cas sur 13, ISE est parvenue à exploiter les routeurs et les appareils NAS afin d’obtenir un accès root à distance. Parmi les vulnérabilités découvertes, on compte des problèmes d’overflow de buffer, des erreurs de scripting cross-site, des failles de sécurité d’injection de commandes, ou encore des problèmes d’injection SQL.

Chaque appareil examiné comportait au moins une vulnérabilité pouvant être exploitée pour obtenir un accès à distance ou un accès non autorisé aux panneaux d’administration. Au total, six appareils pouvaient être exploités à distance sans authentification.

Les vendeurs d’appareils IoT doivent faire de la sécurité leur priorité

L’ISE a contacté les vendeurs concernés en leur communiquant les rapports de vulnérabilité. La plupart d’entre elles ont accepté de consulter les documents, et trois entreprises ont même accepté de travailler directement avec la firme pour mitiger leurs problèmes de sécurité. Certains ont néanmoins refusé de prendre connaissance des découvertes des chercheurs.

Certes, il est impossible pour une machine connectée à internet d’être sécurisée à 100%. Pour cause, de nouvelles vulnérabilités sont découvertes chaque jour dans le firmware, le hardware ou les protocoles de connectivité de ces appareils.

Cependant, le problème vient aussi du fait que les vendeurs IoT n’ont pas encore pris soin d’intégrer la sécurité au coeur du processus de développement. Ainsi, selon le chercheur Rick Ramgattie de ISE, les professionnels de la sécurité et les développeurs doivent impérativement utiliser les outils à leur disposition pour détecter et corriger ces vulnérabilités déjà mises en lumière il y a six ans.

À mesure que de plus en plus d’appareils électroniques seront connectés à internet, les cybercriminels profiteront d’un terrain toujours plus vaste pour mener leurs attaques. Chaque semaine, de nouveaux types de malwares et d’exploitations de failles de sécurité sont découverts. Par exemple, Trend Micro a récemment découvert que les hackers s’attaquent de plus en plus aux pompes à essence connectées

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *