BFM Business

Les éclairages connectés, nouvelle menace pour la sécurité des entreprises?

Les ampoules connectées Philips Hue comportaient une faille d'ampleur.

Les ampoules connectées Philips Hue comportaient une faille d'ampleur. - Philips

Un éditeur de sécurité a démontré comment des pirates peuvent entrer dans le réseau informatique d'une entreprise en s'appuyant sur les vulnérabilités de ces dispositifs. C'est en fait tous les objets connectés qui présentent un risque.

Ampoules ou éclairages, volets ou encore thermostats connectés sont de plus en plus présents dans les foyers mais aussi dans les entreprises. Ces dispositifs présentent beaucoup d'atouts: pilotage centralisé, économies d'énergie, ajustement aux conditions de travail... Mais ils peuvent également se révéler dangereux car comme tous les appareils connectés à un réseau, ils peuvent présenter des failles de sécurité exploitables à distance par des pirates informatiques.

C'est le cas des éclairages connectés, selon Check Point. Des chercheurs de cet éditeur de logiciels de sécurité ont démontré comment des pirates pourraient exploiter un réseau d'objets connectés (ampoules intelligentes et passerelle de contrôle) pour lancer des attaques sur les réseaux informatiques classiques d’entreprises (mais aussi de particuliers ou même de villes entières qui optent pour ce type d'éclairage). D'autant plus que les responsables de la sécurité informatique des entreprises ne se préoccupent pas encore vraiment de ces dispositifs qui commencent à être déployés en masse.

Les chercheurs se sont concentrés sur les ampoules intelligentes Philips Hue et leur contrôleur, et ont découvert des vulnérabilités exploitables à distance qui leur ont permis de s'infiltrer dans des réseaux. La faille se situe dans le protocole sans fil à faible puissance ZigBee, qui est utilisé pour contrôler différents types d’objets connectés.

Une faille connue depuis 2017

En exploitant cette faille connue depuis 2017 et jamais corrigée, il a été possible de prendre le contrôle d'une ampoule Hue dans un réseau, d’y installer un microprogramme malveillant et le propager à d'autres réseaux d'ampoules adjacents. Les chercheurs de Check Point sont allés plus loin et sont parvenus, avec la même faille, à utiliser l'ampoule Hue comme plate-forme pour prendre le contrôle du contrôleur des ampoules et, finalement, à attaquer le réseau informatique de la cible. 

"Beaucoup d'entre nous sont conscients que les objets connectés peuvent poser un risque pour la sécurité, mais cette étude démontre comment même les dispositifs les plus banals, apparemment "passifs" tels que des ampoules électriques, peuvent être exploités par des pirates et utilisés pour prendre le contrôle de réseaux ou installer des logiciels malveillants" déclare Yaniv Balmas, responsable de la recherche chez Check Point Research.

"Il est essentiel que les entreprises et les particuliers se protègent contre ces attaques potentielles en mettant à jour leurs appareils avec les derniers correctifs, et en les séparant des autres appareils de leurs réseaux pour limiter la propagation d’éventuels logiciels malveillants. (...) Nous ne pouvons pas nous permettre de négliger la sécurité de tout ce qui est connecté à nos réseaux."

Dans ce cas précis, Philips a finalement corrigé l'intégralité de la faille exposée par Check Point et l'éditeur rappelle également que les générations plus récentes d'ampoules Hue ne présentent pas cette vulnérabilité. Pour autant, il est clair que ces dispositifs encore mal maîtrisés (voire pas couverts) par les services informatiques des entreprises vont devenir une cible privilégiée des pirates.

Encore récemment, les entreprises ont mis en garde les salariés sur l'utilisation par exemple de clés USB sur les postes de travail (certaines interdisent même leur utilisation si elles n'ont pas été vérifiées avant).

Alerte sur le "Shadow IoT"

Maintenant, il s'agit de lancer l'alerte concernant les objets connectés au sens large, soit des appareils apportés par les salariés sur leurs lieux de travail et qui mettent en péril le réseau de l'entreprise. C'est ce qu'on appelle le "Shadow IoT". Ces objets sont aujourd'hui multiples et très utilisés: montres connectées, dispositifs de suivi sportif ou médicaux. Or ils sont bien moins sécurisés (parfois pas du tout) que les smartphones ou les PC portables personnels également souvent connectés au réseau de l'entreprise.

Selon une étude d'Infoblox menée aux Etats-Unis, Grande-Bretagne, Espagne et Pays-Bas, environ 80% des responsables informatiques ont identifié des dispositifs de shadow IoT connectés à leur infrastructure. Les politiques dédiées de sécurité commencent ainsi à être déployées et peuvent aller jusqu'à l'interdiction pure et simple dans les entreprises sensibles.

"L'écosystème du risque évolue à un rythme si rapide que les organisations doivent modifier leurs habitudes de sécurité en conséquence" souligne l'étude.

"Les dispositifs connectés personnels sont facilement repérables par les cybercriminels, ils constituent un point d'entrée faible dans le réseau et représentent un risque sérieux pour la sécurité de l'organisation. Sans une vision complète des politiques de sécurité des appareils connectés à leur réseau, les équipes informatiques mènent une bataille perdue d'avance pour assurer la sécurité du périmètre réseau en constante expansion", précise Malcolm Murphy, directeur technique EMEA chez Infoblox.

Olivier Chicheportiche