Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonAdoptez des tests d'intrusion intégrés pour assurer la sécurité des appareils IoT
Avec l’adoption croissante de l’IoT et des appareils connectés, les organisations doivent se concentrer sur la sécurité de leurs systèmes embarqués.
Alors que de nombreuses organisations effectuent régulièrement des tests de pénétration des applications et des réseaux, elles oublient souvent d’évaluer les vulnérabilités des appareils connectés. Les tests d'intrusion intégrés analysent les appareils connectés, y compris les produits IoT, à la recherche de faiblesses potentielles.
Pour aider les équipes de sécurité et les personnes intéressées à effectuer des tests d'intrusion appropriés, Jean-Georges Valle a écrit Practical Hardware Pentesting. Au cours de la carrière de Valle, il a travaillé dans les domaines des tests d'intrusion intégrés, de l'architecture de sécurité et de la gestion des risques. Il est actuellement vice-président senior chez Kroll, un cabinet de conseil en cyber-risques et en services financiers.
Le livre, actuellement dans sa deuxième édition, enseigne aux lecteurs comment utiliser des techniques offensives pour tester les vulnérabilités et les faiblesses des dispositifs embarqués.
Bien que l’objectif soit le même que celui du test d’intrusion logiciel, il s’agit d’une expérience différente pour le testeur. "C'est une activité pratique", a déclaré Valle. "Vous interagissez physiquement avec les appareils : vous soudez, ouvrez des pièces et procédez à la rétro-ingénierie d'un appareil physique."
Dans une interview, Valle a discuté des défis liés à la sécurité des systèmes embarqués, des tests d'intrusion intégrés et de la manière dont il effectue un test d'intrusion.
Consultez un extrait du chapitre 10 qui explique comment effectuer une ingénierie inverse dynamique lors des tests de stylet intégrés.
Note de l'éditeur : L'interview suivante a été modifiée pour plus de clarté et de longueur.
Quelle est la plus grande faiblesse en matière de sécurité des systèmes embarqués dont les organisations doivent mieux tenir compte ?
Jean-Georges Valle : La plus grande faiblesse est que les systèmes embarqués n'existent jamais seuls. Ils interagissent toujours avec quelque chose en back-end et avec d’autres services quelque part dans le cloud. Le problème est que ces systèmes et appareils embarqués sont généralement considérés comme totalement fiables et non comme un vecteur d’attaque.
Cet état d’esprit n’est pas du tout vrai, j’ai découvert et je suis désolé de le dire. Les attaquants peuvent exploiter les appareils et systèmes intégrés comme voie d'attaque vers l'infrastructure informatique d'une organisation et partir de là. En raison de cette fausse idée de confiance concernant les appareils embarqués, les principes habituels du moindre privilège, du durcissement, de la segmentation, etc. sont oubliés. Les organisations peuvent négliger les appareils embarqués et leurs vulnérabilités potentielles. Cela les expose à des vecteurs d'attaque courants, tels que l'injection de commandes, ou permet aux appareils intégrés d'accéder à des secrets, tels que des clés API, que les attaquants peuvent ensuite utiliser pour approfondir l'infrastructure informatique.
Avez-vous remarqué une récente reconnaissance de la part des organisations en faveur de l'amélioration de la sécurité de l'IoT et des appareils similaires ?
Valle : Un peu, mais cela est dû en grande partie à la répression de l'Union européenne contre la sécurité des systèmes embarqués. L’UE a introduit des contraintes juridiques concernant ces types d’appareils dans une proposition de 2022 pour la loi sur la cyber-résilience. La loi établit des normes de sécurité auxquelles les appareils connectés doivent se conformer, sinon ils n'obtiendront pas le marquage CE, ce qui signifie effectivement que vous ne pouvez pas vendre dans l'Espace économique européen. En raison du manque d’incitation de l’industrie à renforcer les dispositifs embarqués, les régulateurs ont dû intervenir et commencer à sévir.
Trop souvent, les fournisseurs traitent les produits numériques différemment de la plupart des autres secteurs et refusent d'accepter toute responsabilité suite à des incidents de sécurité. Par exemple, si vous allez au magasin et achetez une tarte aux pommes et que vous êtes empoisonné, le fabricant de cet aliment est responsable. Ce n’est pas vraiment ainsi que cela a fonctionné pour les produits numériques, mais cela change d’un point de vue réglementaire, ce qui est une bonne chose. Désormais, si un fabricant vend un produit numérique vulnérable, il peut être tenu responsable. Cela amène les fabricants à repenser leurs produits et à se concentrer moins sur la fourniture d’appareils connectés bon marché et non sécurisés.
L’objectif des tests d’intrusion intégrés est-il le même que celui des tests d’intrusion classiques pour les réseaux ou les applications ?
Val : Oui. Il est courant de rechercher et d'informer les fabricants des problèmes liés à leurs appareils et de les aider à gérer leurs propres risques. En fin de compte, l'objectif est le même d'aider à la gestion des risques, que vous testiez une voiture, un automate industriel [automate programmable], un produit IoT ou un site Web. Ce n'est pas parce qu'un appareil IoT n'est pas un ordinateur à première vue, car il ne s'agit pas d'un boîtier avec des LED clignotantes, qu'il n'a pas besoin d'être testé pour aider un fabricant ou une organisation à assumer ses risques. Ils veulent toujours connaître les risques auxquels ils sont exposés.