Pour Carl Herberger, vice-président en charge de la sécurité pour Radware et accessoirement ancien pilote de bombardier B-52, nous sommes déjà en plein milieu d'une cyber-guerre. « Regardez ! Les cibles ne changent plus, ce sont les tactiques d'attaques qui évoluent », a-t-il lancé en ouverture de la séance plénière de ce vendredi aux Assises de la sécurité de Monaco. Et une fois de plus, les RSSI n'ont pas l'avantage. « Aujourd'hui, les attaques ne se contentent pas d'exploiter un seul vecteur, en moyenne, elles en utilisent sept ce qui les rendent d'autant plus difficiles à détecter et arrêter », explique Carl Herberger. En outre, il rappelle que 50% des attaques sont aujourd'hui codées ce qui rend encore plus difficile leurs détections. 

Mais surtout, Carl Herberger insiste énormément sur le fait qu'il est nécessaire de tout protéger, jusqu'aux choses les plus anodines. « Nous avons eu le cas d'une grande industrie américaine dont le SI a été compromis par le biais de ses thermostat connectés », argue-t-il. L'arrivée massive des objets connectés apporte de nouvelles menaces d'autant plus que celles-ci sont très diverses. « Ils manquent souvent de protection et les thing bot s'en emparent de plus en plus facilement. Un de nos clients a été visé par un grille-pain qui générait plus de cinquante IP pour une attaque DDOS », explique-t-il. 

Les objets connecté vecteurs de menaces

Du côté d'A1O Networks, les responsables abondent dans ce sens. « Nous prévoyons qu'il y ait bientôt 10 milliards d'objets connectés et donc autant de vecteurs d'attaque. En outre ils peuvent être la cible des attaques avec plus ou moins de risques suivant leurs fonctionnalités », expliquent-ils. Laurent Heslault, directeur des stratégies de sécurité pour Symantec, tient toutefois à bien segmenter ce que sont les objets connectés. « Une sonde de pression dans une cuve de refroidissement de centrale nucléaire et un bracelet de sport ne répondants pas aux mêmes impératifs mais sont toutefois aussi problématique l'un que l'autres », déclare-t-il. La dernière étude menée par l'éditeur sur le wearable computing révélait que dans 20% des cas, les informations qui était renvoyer vers le cloud par ces objets n'entait pas chiffré et qu'il était possible de récupérer les mot de passe en claire, une chose pour le moins surprenant d'autant plus que la majorité des personnes utilisent encore trop souvent un mot de passe unique pour différentes applications.

En outre, les objets connectés posent un problème d'identification. « Dans une logique de communication machine-to-machine, il est très difficile d'identifier si tous les composant qui interagisse entre eux son viables ou non », déclare Laurent Heslault. Ses propos font d'ailleurs écho à ceux de Carl Herberger qui expliquait justement que les hackers avaient mis au point des bots dont il était impossible de différencier le comportement d'un comportement humain. En outre, Laurent Heslault pointe le problème de firmwares qui peuvent être compromis. « A mon sens, la meilleure défense contre les attaques d'objets connecté, c'est le scellement des terminaux ».