Alternative du Bluetooth classique, le Bluetooth Low Energy est choisi de manière croissante pour l’IoT. Cette technologie, aussi connue sous l’abréviation BLE, s’impose de plus en plus pour l’Internet des objets parce qu’elle est idéale pour envoyer de petites quantités de données entre appareils et pour préserver la batterie ; ce qui correspond parfaitement aux besoins de l’IoT. Le Bluetooth classique, de son côté, reste utilisé pour envoyer de grande quantité de données entre un appareil et l’utilisateur (les casques et enceintes sans fil se servent du Bluetooth par exemple).

Si ces deux protocoles Bluetooth sont utilisés à des fins différentes et ne sont pas compatibles, ils restent toutefois dans une certaine mesure similaires parce qu’ils ont des technologies (software et hardware) communes, comme celles qui gèrent l’appairage. Ainsi, les responsables sécurité doivent garder en tête que les failles de sécurité touchant le Bluetooth classique, affectent parfois aussi le Bluetooth Low Energy, mais que ce dernier garde néanmoins ses spécificités et donc des failles qui lui sont propres.

Les périphériques USB sont tellement pratiques. Lorsque l’on a besoin de stocker des petites quantités de données, nous utilisons une clé USB. Tout le monde en a une, et nous leur faisons confiance. Les clés USB sont l’un des moyens principaux pour faire de l’espionnage industriel, mais les attaques au hasard contre des civils et des entreprises sont également courantes.
Le rapport Honeywell 2018 sur les menaces USB pour les opérateurs industriels (en anglais) a analysé un échantillon de 50 sites. Energie, chimie, pâte et papiers, pétrole et gaz et autres secteurs industriels étaient concernés par l’étude. Parmi les sites ciblés, 44 % ont bloqué un fichier suspect venant de ports USB, et 15 % des menaces détectées et bloquées étaient des menaces de haut niveau, comme Stuxnet, Wannacry et Mirai.

Une expérience conduite sur le campus de l’université Illinois Urbana-Champaign en 2016 a montré que sur les 297 clés USB déposées dans l’université, les étudiants et membres du personnel en ont ramassé 98 %.  Pour près de la moitié des clés ramassés, quelqu’un les a branchées et a cliqué sur un fichier. Un sondage est ensuite mené auprès des personnes ayant utilisé les clés USB. 68 % des répondants n’ont pris aucune mesure de sécurité en branchant la clé USB. 68 % déclarent avoir pris un périphérique pour le redonner et 18% l’ont pris par curiosité. Cette étude montre à quel point un simple périphérique USB peut être dangereux.

La sécurité des objets connectés est un sujet d’actualité, cependant les tests d’intrusion IoT sont encore loin d’être une pratique généralisée. La plupart des constructeurs priorisent d’abord les fonctionnalités et le design du produit. Cependant, même avec une approche « security by design », le test d’intrusion reste incontournable pour connaître les risques de sécurité réels, puis pour prendre les mesures nécessaires.

Qu’est-ce qu’un pentest IoT ?

Un objet connecté est une solution complexe, avec différents points d’entrée potentiels pour un attaquant. Un audit de sécurité d’objet connecté (ou pentest IoT) comprend des tests sur l’ensemble de l’écosystème de l’objet, c’est-à-dire : la couche électronique, le logiciel embarqué, les protocoles de communication, le serveur, les interfaces web et mobiles. Les tests côté serveur, interfaces web et applications mobiles ne sont pas spécifiques à l’IoT, cependant ce sont des tests importants, car il s’agit de pans particulièrement à risques. Les tests côté électronique, logiciel embarqué et protocoles de communication concernent des vulnérabilités plus spécifiques à l’IoT.

Il existe trois types d’attaques spécifiques sur les objets connectés et les systèmes embarqués. Les attaques software, les attaques hardware non invasives et les attaques hardware invasives. Les premières profitent des failles logicielles, les secondes récupèrent des informations du hardware sans l’endommager tandis que les dernières impliquent l’ouverture des composants et donc leur destruction pour pouvoir en tirer des secrets. Si les deux premiers types d’attaques ne nécessitent pas beaucoup de moyens, ce n’est pas le cas des attaques invasives pour lesquelles des équipements très coûteux sont nécessaires.

Voici dix types de tests concrets conduits lors de l’audit de sécurité d’un objet connecté, illustrés par quelques exemples médiatisés et emblématiques. Pour chaque point abordé ci-dessous, il existe de nombreux outils et méthodes qui profitent de failles très diverses. Il s’agit donc d’une liste non exhaustive.