Il y a quelques mois, une alerte de sécurité a été émise concernant... un lave-vaisselle. Cet appareil commercial contenait en effet une vulnérabilité Directory Traversal critique qui aurait pu permettre aux pirates d'exploiter et d'accéder à des informations sensibles.
Pire, aucun patch n'était disponible pour cette faille, mettant ainsi en évidence un risque craint par de nombreux professionnels de la sécurité : celui que des fabricants traditionnels cherchant à lancer leurs produits en premier ne soient pas en mesure de protéger ces appareils intelligents et connectés. À l'heure où la sécurité passe encore souvent au second plan, les fabricants de produits grand public doivent aujourd'hui s'assurer d'avoir un plan de gestion des correctifs pour parer à l'éventualité d'une vulnérabilité.
Combler le fossé avec les fabricants
Pour beaucoup, la découverte d'une faille dans un lave-vaisselle est un exemple de plus d'un manquement au niveau de la sécurité des consommateurs. Pourtant, cela n'a rien d'une surprise... Les constructeurs du monde entier rivalisent afin d'intégrer les toutes dernières innovations à leurs produits, notamment pour en faire des appareils « intelligents ». L'essor de l'Internet des Objets (IdO) les pousse en dehors de leur zone de confort, en particulier pour ce qui est du développement et de la sécurité des logiciels.
Face à la prolifération des produits connectés à Internet, les fabricants doivent dorénavant mettre davantage l'accent sur la sécurité lors de la phase de développement. Cela implique de tester minutieusement le code, d'assurer une maintenance en continu, de mapper soigneusement les logiciels intégrés et de se tenir informé de leurs potentielles vulnérabilités. Il leur faut également d'amples ressources pour réagir rapidement et efficacement le cas échéant. Dans le cas de ce lave-vaisselle, il n'existait aucun patch connu. Ce genre de problèmes doit donc être géré au cours de la phase de développement. Heureusement, de nouvelles technologies sont disponibles pour permettre aux constructeurs de déployer des mises à jour forcées vers les clients (afin de réduire les vulnérabilités et les risques potentiels). Cependant, il leur faudra malgré tout mettre en place des stratégies de gestion des vulnérabilités, c'est indispensable !
Beaucoup de fabricants n'ont tout simplement aucune idée des défis concrets liés à l'IdO : aucun appareil connecté à Internet n'est sécurisé à 100 %, et le risque de piratage ne peut jamais être écarté. Il est donc essentiel de mettre en place une stratégie de gestion des vulnérabilités.
La sécurité doit être une priorité absolue
La sécurité des applications doit être la priorité des fabricants d'équipements : avec l'essor de l'IdO, les pirates lancent chaque jour des attaques plus sophistiquées. Beaucoup de conseils ciblent les entreprises ou les consommateurs de dispositifs connectés. Cependant, si ces appareils ne sont pas sécurisés, il n'y a pas grand-chose à faire. La responsabilité est celle des fabricants, qui doivent fournir des applications sécurisées ; faire en sorte qu'elles ne puissent pas être piratées ; et être en mesure de déployer rapidement des mises à jour et des patches de leurs logiciels et firmwares.
La notion de sécurité doit donc être une considération omniprésente. Il est important que ces processus soient stables, sécurisés, et fonctionnent même au sein des écosystèmes IdO les plus étendus, là où les logiciels font partie d'une chaîne d'approvisionnement plus vaste, ou dans les cas où ils seraient proposés aux côtés d'applications d'autres éditeurs.
Les logiciels open source
Les logiciels open source sont fréquemment utilisés par quasiment tous les développeurs et dans pratiquement toutes les solutions IdO. Malgré leur omniprésence, ces composants ne font généralement l'objet d'aucune gestion, ce qui signifie que les développeurs sont incapables de suivre et de maîtriser les vulnérabilités au niveau de leur code. L'analyse en continu du code source leur permettra de conserver l'ensemble de ces composants tiers et open source à jour, et de réagir en cas de vulnérabilité.
Une fois ces logiciels déployés, les applications devront être rendues virtuellement inviolables afin qu'il soit extrêmement dur pour les pirates d'accéder au code ou d'en faire quoi que ce soit. En outre, des technologies de sécurisées et matures de gestion des licences devront être appliquées afin que seuls les utilisateurs autorisés ne puissent y accéder. Enfin, des processus et technologies de mise à jour stables et évolutifs devraient être mis en place dès le premier jour afin que les fabricants puissent mettre à jour les logiciels ou firmwares des appareils sur le terrain si un patch devenait nécessaire, ou en cas de piratage.
Trois conseils pour l'IdO (Internet des objets)
Les fabricants de dispositifs IdO devront suivre les trois conseils suivants pour assurer la sécurité de leurs applications dans le monde de l'IdO :
- 1. Scanner le code base à la recherche d'OSS et de composants tiers potentiellement criblés de vulnérabilités ;
- 2. Protéger leurs applications du piratage à l'aide de systèmes de gestion des licences et des applications inviolables ;
- 3. Se tenir prêt à l'aide d'une solution de mise à jour automatisée et continue des logiciels et firmwares, et réagir rapidement lorsqu'une vulnérabilité nécessite d'être corrigée ou en cas de piratage.
Pour conclure, Les dispositifs IdO sont de toute évidence de plus en plus intelligents. Mais comme souvent, l'innovation vient avec son lot de risques. Les fabricants et les organisations doivent donc continuer à se partager la tâche et prendre les précautions nécessaires pour que leurs appareils ne deviennent pas une proie facile pour les criminels.