Technologies

98 % des flux IoT ne sont pas sécurisés

L’IoT est connu pour être une source de failles, ce qui est désormais prouvé par cette étude.

Une étude réalisée aux Etats-Unis par des entités du groupe Palo Alto Networks montre combien l'IoT est un nid de failles de sécurité.

PublicitéChacun a le sentiment que l'IoT est une source de failles de sécurité. L'étude réalisée par deux filiales du groupe Palo Alto Networks, Unit42 (unité de recherches) et Zingbox (spécialiste de l'IoT), vient mettre des chiffres sur ce sentiment. Et ce n'est pas rassurant. L'étude a été réalisée dans deux secteurs gros utilisateurs d'IoT et aux Etats-Unis : la santé et la location de biens. Rappelons que la plupart des appareils d'imagerie médicale sont des des objets connectés et que bon nombre de bien loués sont équipés de traceurs GPS. L'étude rappelle un chiffre du Cabinet Gartner : il y a 4,8 milliards d'appareils connectés, en progression de 21,5 % entre 2018 et 2019. C'est dire l'ampleur du problème.

Les flux de données IoT, potentiellement riches en données personnelles, sont ainsi particulièrement visés : 98 % de ces flux ne sont pas chiffrés. L'écoute des flux est donc relativement aisée pour un pirate. Pire que cela, les objets connectés eux-mêmes ont leurs logiciels embarqués rarement mis à jour, les rendant vulnérables sur des failles bien documentées, sans oublier le changement rare des mots de passe d'administration par défaut. 57 % des objets connectés sont concernés par ces attaques de gravité moyenne à élevée. Dans l'imagerie médicale, 83 % des appareils utilisent des environnements qui ne sont plus maintenus (comme des anciennes versions de Windows), créant des failles qui sont par ailleurs comblées dans le SI depuis longtemps. Dans 51 % des cas sur le matériel d'imagerie, la qualité des soins peut être impactée et les données médicales sont susceptibles d'être volées.

Les failles IoT peuvent se propager à tout le SI lorsque le même réseau est utilisé, ce qui est le cas notamment dans 72 % des VLAN du secteur de la santé. 41 % des attaques se basent sur de la recherche de failles connues sur les appareils connectés au réseau. La persistance dans les objets connectés de protocoles anciens, parfois vieux de dizaines d'années (DICOM...), est également une source importante de failles bien connues.

A propos de l'étude

Le « Rapport sur les menaces IoT 2020 » a été créé par la collaboration de deux filiales du groupe Palo Alto Networks, Unit42 (unité de recherches) et Zingbox (spécialiste de l'IoT). Il est basé sur une analyse qui a duré deux années (2018 et 2019) auprès de centaines de clients des deux sociétés situés aux Etats-Unis dans les secteurs de la santé et de la location de biens, secteurs jugés représentatifs des usages réels de l'IoT. 73,2 milliards de sessions de 1,3 millions de terminaux de 8355 modèles ont ainsi été analysées.

Sur le même sujet
La CIO.expériences La cybersécurité à l'heure du Zéro Trust : protéger l'entreprise étendue avec les nouvelles approches organisée par CIO aura lieu le 24 Mars 2020 à Paris.