Qu’est-ce que le Top 10 de l’OWASP IoT ?

La liste OWASP IoT Top 10 est une classification des risques de sécurité les plus courants qui peuvent rendre les appareils de l’Internet des objets (IoT) vulnérables aux cyberattaques. Ces risques vont des interfaces web non sécurisées aux mécanismes d’authentification et d’autorisation défaillants. Selon une étude du CSO, 61 % des organisations ont connu un incident de sécurité lié à l’IdO. Dans cet article de blog, nous allons explorer la liste OWASP IoT Top 10 des vulnérabilités communes, de ce qu’est la liste OWASP Top 10 IoT à ce qu’est la liste OWASP IoT actuelle et ce que les fabricants peuvent faire pour remédier à ces vulnérabilités.

Qu’est-ce que le Top 10 de l’OWASP IoT ?

Le projet OWASP sur l’Internet des objets fait partie du projet OWASP Top Ten. Le Top 10 de l’OWASP IoT est une classification des risques de sécurité les plus courants qui peuvent rendre les appareils de l’Internet des objets (IoT) vulnérables. Ces risques vont des interfaces web non sécurisées aux mécanismes d’authentification et d’autorisation défaillants. Le projet OWASP Internet of Things est conçu pour aider les fabricants, les développeurs et les utilisateurs à mieux comprendre les risques de sécurité associés aux dispositifs IoT et pour fournir des conseils sur la manière de prévenir ou d’atténuer ces risques.

Quelle est la liste actuelle des 10 meilleurs produits de l’OWASP pour l’IdO ?

Voici la dernière liste des 10 principales vulnérabilités de l’OWASP IoT :

1. Mots de passe faibles, devinables ou codés en dur

L’un des risques de sécurité les plus courants pouvant affecter les appareils IoT est la faiblesse des mots de passe ou le fait qu’ils soient facilement devinés. De nombreux appareils IoT sont dotés de mots de passe par défaut qui sont soit faciles à deviner, soit accessibles au public, soit immuables. C’est le cas de la plupart des appareils IoT dotés d’une interface web.

Les mots de passe codés en dur, également connus sous le nom d’identifiants intégrés, sont des mots de passe en texte clair ou d’autres secrets contenus dans le code source même du micrologiciel de l’appareil. Si un pirate accède au code source, il aura accès à tous les mots de passe et secrets utilisés par l’appareil.

Voici quelques exemples de mots de passe faibles, devinables ou codés en dur :

• admin/admin
• invité/invité
• utilisateur/mot de passe
• root/toor

Comment atténuer ce risque : Si un appareil IoT utilise l’un de ces mots de passe, remplacez-le par un mot de passe fort et unique en suivant les meilleures pratiques en matière de sécurité des mots de passe; modifiez les mots de passe par défaut des appareils à l’aide d’un gestionnaire de mots de passe pour générer et stocker systématiquement des mots de passe forts et uniques.

2. Services de réseau non sécurisés

Des services de réseau d’appareils non sécurisés ou inutiles exposés à l’internet public peuvent compromettre la confidentialité, l’intégrité et la disponibilité de leurs informations. La sécurité de l’IdO, souvent compromise par des mots de passe par défaut, peut conduire à l’utilisation de ces appareils par des botnets, qui peuvent exécuter des attaques telles que des dénis de service distribués (DDoS), des vols de données ou des ransomwares.

Voici quelques exemples de services réseau non sécurisés :

• Telnet
• FTP
• UPnP

Comment atténuer ce risque ? Remédier à ces vulnérabilités en matière de sécurité de l’IdO en limitant les services de connexion au strict minimum requis et en utilisant des protocoles sécurisés dans tous les cas.

3. Un écosystème d’interfaces peu sûr

Un écosystème d’interfaces peut être défini comme toute interface de communication utilisée par le dispositif qui ne fait pas partie du dispositif lui-même. Les problèmes communs à ce type d’écosystème sont notamment les suivants :

• Absence d’authentification/autorisation.
• Absence de cryptage (ou utilisation d’un cryptage faible).
• Absence de filtrage des entrées et des sorties.

Parmi les exemples d’écosystèmes peu sûrs, on peut citer les suivants :

• Interface web non sécurisée
• Application mobile non sécurisée
• Interface cloud non sécurisée
• API non sécurisée

Comment atténuer ce risque ? Dans la mesure du possible, crypter toutes les communications à l’aide de SSL/TLS ; mettre en place des mécanismes d’authentification et d’autorisation pour garantir que seuls les utilisateurs autorisés peuvent accéder aux interfaces de l’appareil, ainsi que le filtrage des données d’entrée et de sortie pour empêcher l’injection ou l’extraction de données malveillantes.

4. Absence de mécanisme de mise à jour sécurisé

L’absence de mécanisme de mise à jour sécurisée de l’appareil se traduit notamment par les éléments suivants :

• Absence de validation du micrologiciel sur l’appareil.
• Absence de livraison sécurisée des mises à jour (données non cryptées en transit).
• L’absence de mécanismes anti-retour, qui empêchent la rétrogradation d’un logiciel vers une version plus ancienne.
• Absence de notification des changements de sécurité dus aux mises à jour.

En l’absence de tout mécanisme de mise à jour sécurisé, les mises à jour de logiciels et de microprogrammes peuvent faire l’objet d’une modification non autorisée d’un système, d’un composant du système, de son comportement prévu ou de données, que ce soit à la source ou en cours d’acheminement.

Comment atténuer ce risque? Veiller à ce que toutes les mises à jour soient signées numériquement et transmises par des canaux sécurisés, et à ce que la signature soit vérifiée avant d’être appliquée ; en outre, intégrer des mécanismes empêchant les pirates de revenir sur les mises à jour et informer les utilisateurs de toute mise à jour de sécurité critique immédiate à appliquer.

5. Utilisation de composants non sécurisés ou obsolètes

Les composants/librairies logiciels obsolètes ou non sécurisés, énumérés ci-dessous, pourraient compromettre l’ensemble de l’appareil :

• Personnalisation non sécurisée des systèmes d’exploitation.
• Des logiciels ou des composants matériels tiers provenant d’une chaîne d’approvisionnement compromise.
• Injection de tout type de faiblesses utilisées comme point d’entrée pour une attaque.
• Des versions anciennes ou dépassées de logiciels, qui exposent l’appareil à des vulnérabilités bien connues qui ont été corrigées dans des versions plus anciennes.

Les composants d’un logiciel dont les vulnérabilités sont connues et qui n’ont pas encore été corrigés doivent être évités jusqu’à ce qu’ils puissent être mis à jour. Voici quelques exemples de composants logiciels obsolètes ou peu sûrs :

• OpenSSL
• LibreSSL
• Château gonflable

Comment atténuer ce risque ?: S’abstenir d’utiliser des technologies anciennes et les remplacer le plus rapidement possible ; dans le cas d’appareils anciens configurés avec des identités non sécurisées, ajouter une couche de sécurité après le déploiement en utilisant une passerelle sécurisée et suivre les mises à jour ainsi que tester correctement les nouveaux logiciels avant leur mise en œuvre.

6. Protection insuffisante de la vie privée

Les informations personnelles des utilisateurs stockées dans l’appareil ou dans l’écosystème sont utilisées de manière non sécurisée, inappropriée ou sans autorisation. La protection de la vie privée est un risque de conformité critique pour de nombreuses normes, notamment les suivantes :

• GDPR, ou General Data Protection Regulation, qui impose aux entreprises de protéger les données personnelles et la vie privée des citoyens de l’Union européenne (UE) pour les transactions effectuées dans leurs États membres.
• PCI-DSS, ou Payment Card Industry Data Security Standard, qui impose à toute entreprise traitant, stockant ou transmettant des informations de cartes de crédit de protéger les données des titulaires de cartes.

Une protection insuffisante de la vie privée peut par exemple se traduire par une faille de sécurité due à un stockage local de données non sécurisé ou même par la collecte et le stockage non autorisés de données à caractère personnel.

Comment atténuer ce risque? Veiller à ce que toutes les données personnelles collectées le soient avec l’autorisation de l’utilisateur et qu’elles soient stockées de manière sécurisée à l’aide d’un système de cryptage ; en outre, veiller à ce que les données stockées localement soient cryptées et que leur accès soit limité aux seules personnes qui en ont besoin.

7. Transfert et stockage de données non sécurisés

Absence de cryptage ou de contrôle d’accès approprié des données sensibles à toutes les étapes de l’écosystème, y compris au repos, en transit ou pendant le traitement. Voici quelques exemples de transfert et de stockage de données non sécurisés :

• Envoi de données sur une connexion réseau non sécurisée et sans cryptage.
• Stockage de données dans une base de données ou un fichier non crypté.
• Ne pas restreindre correctement l’accès aux données sensibles sur la base du besoin de savoir ou d’un accès basé sur les rôles.
• Ne pas vérifier l’intégrité des données stockées, ce qui peut entraîner leur altération ou leur corruption.

Comment atténuer ce risque? Restreindre l’accès aux données sensibles en général et veiller à ce que toutes les données soient cryptées au repos, en transit ou en cours de traitement.

8. Absence de gestion des appareils

Le manque de soutien à la sécurité sur les dispositifs déployés dans les environnements de production, y compris la gestion des actifs, la gestion des mises à jour, le déclassement sécurisé, la surveillance des systèmes et les capacités de réponse. Les exemples suivants illustrent l’absence de gestion des appareils :

• Absence de suivi ou de contrôle des dispositifs.
• Ne pas avoir la possibilité de mettre à jour ou de corriger les appareils à distance.
• Manque de visibilité sur les appareils et leurs configurations.
• L’incapacité à mettre correctement hors service un dispositif lorsqu’il n’est plus nécessaire, ce qui entraîne des dispositifs orphelins qui pourraient encore être utilisés pour accéder à des données ou à des réseaux sensibles.
• L’absence de systèmes permettant de détecter les incidents de sécurité et d’y répondre.

Comment atténuer ce risque? Mettre en œuvre des protocoles de gestion des appareils appropriés, y compris le suivi des actifs, la gestion des mises à jour et des correctifs, la mise hors service sécurisée, la surveillance des systèmes et les capacités d’intervention.

9. Paramètres par défaut non sécurisés

Appareils ou systèmes lancés avec des paramètres par défaut non sécurisés ou qui ne peuvent pas être rendus plus sûrs en empêchant les opérateurs de les modifier. Parmi les exemples de paramètres par défaut non sécurisés, on peut citer les mots de passe par défaut bien connus ou faciles à deviner, l’utilisation d’identifiants administratifs par défaut codés en dur ou faciles à deviner, ou l’absence de mécanismes de contrôle d’accès appropriés, comme le fait de ne pas exiger d’authentification forte pour les comptes d’administrateur.

Comment atténuer ce risque? Veiller à ce que tous les appareils et systèmes soient déployés avec des paramètres par défaut sécurisés et que les administrateurs soient correctement formés sur la manière de les configurer de manière sécurisée.

10. Absence de durcissement physique

Absence de mesures de renforcement physique, permettant à des attaquants potentiels d’obtenir des informations sensibles susceptibles d’être exploitées pour lancer une future attaque à distance ou pour prendre le contrôle local de l’appareil. Les exemples suivants illustrent l’absence de durcissement physique :

• Ne pas utiliser de matériel résistant aux manipulations.
• Utiliser des mots de passe par défaut ou faciles à deviner pour les mécanismes de contrôle d’accès physique, tels que les serrures et les clés.
• Ne pas protéger correctement les appareils contre un accès physique non autorisé, ce qui peut entraîner une altération, un vol ou une destruction de l’appareil.

Comment atténuer ce risque? Mettre en place des contrôles de sécurité physique pour protéger les dispositifs contre les accès non autorisés, les manipulations, les vols ou les destructions ; ces contrôles de sécurité peuvent inclure l’utilisation de matériel résistant aux manipulations.

Le mot de la fin

Atténuer les vulnérabilités de sécurité des appareils IoT est une tâche complexe qui nécessite une approche à multiples facettes. Les fabricants doivent prendre en compte les 10 principaux risques de l’OWASP IoT lors de la conception et du développement de leurs produits et doivent envisager de mettre en œuvre des contrôles de sécurité pour atténuer ces risques dès le début du processus. La réalisation régulière de tests d’intrusion IoT dans divers contextes, de la sécurité de votre application mobile à vos API hébergées dans le cloud, vous aidera à assurer la sécurité de votre réseau IoT.

Contactez-nous si vous avez besoin d’aide pour améliorer la sécurité de vos appareils IoT.