Pendant deux semaines, la division recherche de Zscaler, fournisseur d’une plateforme virtuelle sécurisée dans le cloud, a analysé près de 500 millions de transactions IoT provenant de 2 000 organisations, utilisant 553 équipements IoT différents de 212 fabricants. Si le trafic ainsi généré ne représente qu’une fraction de l’ensemble du trafic traité par le cloud de Zscaler, il a progressé de 1 500% entre mai 2019 et février 2020, passant de 56 millions à près d’un milliard de transactions IoT par mois, soit 33 millions de transactions IoT par jour (sur un total de 85 milliards de transactions par jour traitées par Zscaler).

Dans son rapport « IoT Devices in the Enterprise 2020 : Shadow IoT threat emerges », ThreatLabZ montre que le nombre de malwares IoT bloqués a aussi fortement augmenté en dix mois, passant de 2000 à 14 000 par mois. Les utilisateurs en entreprise sont de plus en plus connectés à tout moment utilisant leurs propres terminaux entre le bureau et le domicile. « Dans de nombreux cas, les équipes IT des entreprises ne sont pas averties de l'existence de certains équipements générant du trafic IoT et cette nouvelle culture de shadow IoT crée de nouveaux vecteurs d’attaque pour les cybercriminels », souligne le rapport.

83% des transactions se font en clair

Parmi les équipements autorisés identifiés par Zscaler figurent des terminaux de collecte de données, d’affichage dynamique, de contrôle industriel, de paiement, imprimante ou encore matériel réseau ou médical. Mais il apparaît aussi du trafic généré par des terminaux non autorisés, tels qu’assistants numériques, box TV, caméras IP, montres connectés et même systèmes multimédias embarqués dans des véhicules. Ce qui signifie que les employés se connectent à ces dispositifs personnels depuis leur réseau d’entreprise. Or, 83% de ces transactions basées sur des dispositifs IoT se font en clair, ce qui expose les mots de passe et les autres données et fait peser des risques d’attaques de type man-in-the middle ou d’écoute clandestine. Seules 17% utilisent des canaux sécurisés (SSL).

En 2016, les attaquants du botnet Mirai ont tablé sur le fait que les utilisateurs grand public changeaient rarement le mot de passe par défaut des caméras IP et des routeurs domestiques, rappelle Zscaler. Et de nouveaux exploits apparaissent régulièrement, comme le botnet Rift. Or, il devrait y avoir plus de 11 milliards d’objets connectés en 2021. Sur le dernier trimestre, le fournisseur de plateforme de sécurité dans le cloud a bloqué 42 000 transactions basées sur des malwares et des exploits IoT, incluant Mirai, Gafgyt, Rift, Bushido, Demonbot et Pesirai. Leurs principales destinations : les Etats-Unis, le Royaume-Uni, la Russie, les Pays-Bas et la Malaisie.

57% du trafic généré par des lecteurs de code-barre

Sur les 553 équipements distincts identifiés par ThreatLabZ sur les deux semaines d’analyse de son rapport, près de 70% sont des terminaux privés (set top box, smart TV, montres connectées…). En revanche, en nombre de transactions IoT, ce sont les processus métiers qui dominent, près de 57% étant générés par des lecteurs de code-barre utilisés dans les usines et entrepôts. Suivent les imprimantes (16%), les lecteurs médias (7,7%) et les affichages dynamiques (7,1%). Mais Zscaler pointe avec stupéfaction le fait que 41% des terminaux IoT considérés ne recourent pas du tout à SSL. Pour réduire les risques, les entreprises doivent augmenter leur visibilité sur l’ensemble de leur infrastructure pour identifier le shadow IoT et mettre en place une approche zero trust, souligne le fournisseur.