La plupart des transactions IoT ne sont pas sécurisées selon Zscaler - Actualités RT Sécurité

La plupart des transactions IoT ne sont pas sécurisées selon Zscaler

le 06/03/2020, par Andy Patrizio, IDG NS (adapté par Jean Elyan), Sécurité, 683 mots

Les données recueillies par le fournisseur de sécurité Zscaler montrent que, non seulement la plupart des transactions Internet ne sont pas sécurisées, mais qu'elles sont également non autorisées, car l'IoT favorise le « Shadow IT ».

La plupart des transactions IoT ne sont pas sécurisées selon Zscaler

Selon une étude réalisée par le fournisseur de sécurité Zscaler, la plupart des transactions IoT n'offrent même pas une sécurité de base, et du fait de cet IT fantôme, la majorité des transactions non autorisées se déroulent à l'intérieur du périmètre des pare-feu d'entreprise. Pendant deux semaines, Zscaler a analysé près de 500 millions de transactions IoT exécutées par plus de 2 000 entreprises. Ce travail a révélé que les transactions étaient exécutées par 553 dispositifs IoT différents provenant de plus de 200 fabricants différents. Surtout, la sécurité était désactivée sur beaucoup de dispositifs. L'analyse, réalisée sur le propre service de sécurité d'accès à Internet de Zscaler, a également montré que l'usage de l'IoT augmentait de manière explosive : en mai 2019, quand le fournisseur a commencé à surveiller le trafic IoT généré par sa clientèle d'entreprises, le nombre de transactions IoT par mois était de 56 millions. En février 2020, le volume est passé à 33 millions de transactions par jour, soit un milliard de transactions par mois, ce qui représente une augmentation de 1500 %.

La définition des dispositifs IoT d'entreprise par Zscaler est assez large puisque le fournisseur comptabilise aussi bien les terminaux de collecte de données, les lecteurs de médias à affichage numérique, les dispositifs de contrôle industriel, les appareils médicaux, que des appareils non professionnels comme les assistants numériques domestiques, les décodeurs TV, les caméras IP, les appareils domestiques intelligents, les téléviseurs intelligents, les montres intelligentes et même les systèmes multimédia embarqués. « On peut voir ainsi que certaines personnes accèdent à la caméra de surveillance de leur domicile à partir du réseau de l'entreprise. Ou qu'elles utilisent leur Apple Watch pour consulter leur messagerie. Ou encore, qu'elles se connectent au réseau de l'entreprise depuis leur domicile, et qu'elles vérifient régulièrement le système de sécurité de leur domicile ou qu'elles se connectent à des appareils multimédia », indique l'entreprise de sécurité dans son rapport.

Chiffrement SSL pour 17% des données IoT

Pour être honnête, ces pratiques sont vraiment très répandues, et que celui ou celle qui n'a jamais péché jette la première pierre. Ce qui est plus troublant, c'est qu'environ 83 % de ces transactions IoT passent par des canaux en texte en clair, et que seulement 17 % utilisent le SSL. Le trafic en texte clair est risqué, car il s'expose au reniflage de paquets, à des écoutes illicites, à des attaques de type « man-in-the-middle » et à d'autres exploits. Et le nombre d'exploits est important. Cette année, Zscaler a détecté tous les mois environ 14 000 exploits de malwares ciblant l'IoT, soit sept fois plus que l'année passée. « Les gens peuvent garder leurs Smart Watch et tous les outils intelligents possibles et imaginables. L'interdiction de ces dispositifs ne résoudrait rien. Il faut plutôt changer de discours sur la sécurité et les risques auxquels peuvent exposer les dispositifs IoT et réévaluer nos exigences pour que les fabricants renforcent la sécurité de leurs dispositifs », a écrit dans un article de blog Deepen Desai, le vice-président de la recherche sur la sécurité de Zscaler.

Selon M. Desai, la vraie solution serait « d'adopter une approche zero-trust ». C'est peut-être un mot à la mode, mais selon lui, « en matière de réseau, il faut inciter les responsables de la sécurité à ne faire confiance à personne, à aucun appareil, s'ils ne peuvent pas identifier l'utilisateur, l'appareil, et si cet utilisateur et cet appareil sont autorisés à accéder aux applications auxquels ils essaient de se connecter ». Même si l'on sait que Zscaler vend ce genre de solution, l'argument reste valable. C'est un problème vieux comme le monde qui resurgit tout le temps. En effet, quand une nouvelle technologie est disponible, tout le monde se précipite pour l'adopter, et la sécurité passe au second plan. En ce sens, l'IoT n'est pas différent. Un conseil cependant : quel que soit l'appareil utilisé, allez dans les paramètres et activez le SSL. C'est vraiment le minimum.

Renforcer la sécurité de son VPN

Le travail à distance des employés oblige les entreprises à fournir des solutions de connexions sécurisées en VPN. Mais pour minimiser les vulnérabilités, il faut bien les configurer. Voilà 5 points de...

le 29/07/2020, par Susan Bradley, IDG NS (adaptation Jean Elyan), 1211 mots

Comment les fabricants de routeurs SoHo ont failli en matière de...

Dans chacun des 127 routeurs qu'il a examinés, l'Institut Fraunhofer a découvert 53 vulnérabilités critiques en moyenne. Aucun appareil n'était totalement protégé. Voilà des années que l'on sait que les...

le 24/07/2020, par Mark Hachman, PC World (adaptation Jean Elyan), 1307 mots

Mozilla déploie un service VPN payant pour Firefox

Avec Mozilla VPN, l'éditeur de Firefox cherche à tirer plus de revenus de son navigateur. Le réseau privé virtuel pour Windows et Android est en cours de déploiement aux États-Unis, au Canada, au Royaume-Uni...

le 21/07/2020, par Gregg Keizer, Computerworld (adapté par Jean Elyan), 690 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...