Sécuriser l'internet des objets et votre lieu de travail

Plus d'appareils sont à risque d'attaque. L'expert en cybersécurité Ken Munro discute des vulnérabilités à surveiller et de la manière de rester en sécurité.





26 février 2020

Réalisé en partenariat avec Sécurité Microsoft

Dans cet épisode, nous examinons la nécessité de sécuriser l'Internet des objets, les espaces de travail physiques et les produits fabriqués par les entreprises. Des avions aux jouets pour enfants en passant par les plates-formes pétrolières, plus d'appareils connectés sont vulnérables aux attaques que jamais auparavant. Il est également le fondateur de la société de services de sécurité Pen Test Partners.

Munro aide à exposer les vulnérabilités des éléments que nous utilisons tous les jours, et il discute de certaines des compétences les plus importantes que les experts en cybersécurité peuvent avoir, des raisons pour lesquelles les entreprises sont exposées à des failles de sécurité physiques et de ce qu'il appelle des failles supersystémiques.

Business Lab est hébergé par Laurel Ruma, directrice d'Insights, la division de publication personnalisée de MIT Technology Review. L'émission est une production de MIT Technology Review, avec l'aide à la production de Collective Next. La musique est de Merlean, d'Epidemic Sound.



Afficher les notes et les liens

Ken Munro , sur Twitter

Ken Munro , Partenaires de test de stylo

Kids Tracker Watches : CloudPets, qui exploite les athlètes et détourne la télé-réalité, Blog sur la sécurité des partenaires de test d'intrusion



Vous pensez avoir eu une brèche ? Top 5 des choses à faire, Blog sur la sécurité des partenaires de test d'intrusion

Sécurité de l'Internet des Objets, une présentation TEDx par Ken Munro

Transcription complète

Laure Ruma : De MIT Technology Review, je m'appelle Laurel Ruma, et voici Business Lab, l'émission qui aide les chefs d'entreprise à donner un sens aux nouvelles technologies qui sortent du laboratoire et arrivent sur le marché.



Les menaces de sécurité sont partout. C'est pourquoi Microsoft Security compte plus de 3 500 experts en cybercriminalité surveillant en permanence les menaces pour vous aider à mieux protéger votre entreprise. microsoft.com/cybersecurity .

Notre sujet aujourd'hui est la cybersécurité, mais plus particulièrement l'importance de sécuriser l'internet des objets, votre lieu de travail physique et vos produits. Oh, et piratage d'avions, de bateaux et d'automobiles. Trois mots pour vous pour : plate-forme pétrolière télécommandée. Mon invité est Ken Munro, qui est un chercheur expert en sécurité de l'Internet des objets, un testeur d'intrusion et un écrivain avec deux décennies d'expérience dans l'industrie de la sécurité. Il est le fondateur et un partenaire de Pen Test Partners et vous avez peut-être vu certains de ses exploits avec des voitures sans clé, des jouets pour enfants, des avions, et nous parlerons davantage de ce qui l'empêche de dormir la nuit : les défauts supersystémiques. Ken, merci de m'avoir rejoint sur Business Lab.

Ken Munro : Oh merci.

Laurier: Tout d'abord, pouvez-vous me dire comment vous vous êtes intéressé à la sécurité, mais plus précisément dans le contexte des appareils et de l'internet des objets ?

Ken : J'aimerais vous dire que j'ai eu une jeunesse perdue, mais c'est beaucoup plus ennuyeux. Après avoir étudié dans une université, j'ai passé du temps à regarder des restaurants. Et je me souviens que j'ai décroché un emploi où je gérais un restaurant, et un après-midi d'ennui quand c'était calme, j'ai commencé à jouer avec le système de point de vente, très, très vieux. Après avoir un peu déconné, vous pourriez le planter sous DOS, la première version de DOS. J'ai alors découvert que je pouvais imprimer mes relevés d'amortissement hypothécaire, afin que je puisse recevoir mes paiements, ce qui était une chose étrange à imprimer sur un chèque de restaurant. Mais un de mes patrons est venu par la suite et m'a dit : « Je pense que vous n'êtes peut-être pas dans la bonne carrière. Ce qui était une bonne façon de me virer, je suppose, mais cela m'a conduit à l'antivirus puis aux pare-feu et à la cybersécurité plus généralement.

Laurier: Alors, outre la curiosité, quelles sont certaines des compétences que doivent posséder les experts en cybersécurité ainsi que, bien sûr, leurs excellentes capacités techniques ?

Ken : Curiosité, c'est un très bon mot en fait, parce que quand je regarde ce que nous faisons en tant que testeurs d'intrusion, hackers éthiques, si vous voulez. C'est essayer de penser comme les gens qui ont développé le système ne l'ont pas fait. Essayer de penser à toutes les erreurs possibles qui ont été commises, aux choses qui avaient été négligées, et juste les piquer, gratter ces démangeaisons pour voir si vous pouvez trouver une erreur commise.

Vous avez mentionné ce que nous appelons des failles supersystémiques - c'est une faille très courante que nous trouvons dans les API [interfaces de programmation d'applications]. Ainsi, l'API que vous trouvez sur une application mobile pour peut-être un appareil intelligent, et nous constatons si souvent que les développeurs, alors qu'ils authentifient correctement leurs utilisateurs, oublient souvent de les autoriser correctement. Et j'entends par là que vous vous connectez, vous créez votre compte, vous vous connectez - dites que vous êtes vous. Mais le développeur quelque part le long de la ligne a oublié de vérifier que chaque demande provenait de vous, ce qui signifie que vous pouvez potentiellement sauter dans les comptes des autres, exécuter des actions en leur nom et briser la ségrégation.

Laurier: Si je suis dans cette situation, et que je suis vous, un testeur de stylo dans une entreprise et que je dois ensuite aller dire à quelqu'un, je pense que nous avons une erreur ici, comment cette conversation se déroule-t-elle ? À qui dis-tu même quelque chose ?

Ken : Parlons de la recherche indépendante. Nous faisons beaucoup de travail à nos propres frais, en achetant des produits et en les examinant, en cherchant à voir si nous pouvons trouver des vulnérabilités. En partie, c'est pour une bonne pratique, un bon exercice, mais c'est aussi utile parce que cela améliore l'état de la sécurité. Donc, si nous trouvons une vulnérabilité, la première chose que nous voulons faire est d'en informer le fabricant. Nous voulons leur dire en privé, confidentiellement afin qu'ils puissent y remédier.

Mais très souvent, le problème est que le premier contact que vous faites atteint les mauvaises personnes ou une organisation qui n'est tout simplement pas habituée à gérer les vulnérabilités - c'est une première fois pour eux. Alors, comment gèrent-ils quelqu'un de complètement froid qui arrive et dit: 'Hé, nous avons trouvé une vulnérabilité dans vos affaires.' La plupart des gens prennent cela comme une critique perçue, ce qui n'est pas du tout l'intention. Mais si quelqu'un dit, vous avez un bogue dans votre produit, la première chose que vous faites est de lever la main, hé, hé, accrochez-vous, accrochez-vous. Non Non Non Non. Nous devons défendre notre marque. Et c'est généralement le premier problème, c'est que les gens n'acceptent pas bien les critiques constructives, ce qui rend la vie très difficile pour un chercheur en vulnérabilité.

Laurier: Mais vous devez aussi avoir ce genre de tact spécial, n'est-ce pas ? La façon dont vous communiquez les problèmes à ces différentes entreprises avec des produits ou des millions et des milliards de dollars investis dans des …

Ken : Ouais. Je pense que c'est comme une partie d'échecs en fait. Parce que je sais que si nous y allons trop fort, ils se cabreront probablement et au lieu de corriger la vulnérabilité, ils feront probablement quelque chose que nous ne voulons pas voir. Ils deviendront agressifs, commenceront à essayer de nous crier dessus ou parfois nous aurons reçu des menaces légales sans fondement mais irritantes et coûteuses à défendre.

Il s'agit donc de se faire entendre par les bonnes personnes de l'organisation qui comprennent la sécurité, qui comprennent l'impact potentiel sur leur marque si une autre personne non éthique l'a découverte. Les obtenir, les cajoler, travailler avec eux, leur donner les outils dont ils ont besoin pour qu'ils puissent y remédier rapidement. Et puis la vulnérabilité est corrigée, et tout le monde s'en porte mieux.

Laurier: Lorsque vous êtes dans une situation, vous devez en fait avoir un homologue dans l'organisation, et nous constatons que toutes les organisations n'ont pas nécessairement quelqu'un comme un CISO, ou il y aura quelqu'un nommé responsable de la sécurité. Comment gérez-vous ces eaux avec précaution - quel type de compétences et de techniques de communication utilisez-vous pour faire passer vos points ?

Ken : Comment les trouvez-vous même? Cela peut être un vrai problème. Peut-être qu'en premier lieu, vous commencez par un formulaire de contact, et il ira probablement à quelqu'un qui ne comprend pas la cybersécurité. Ça va finir au mauvais endroit. Nous avons eu quelques problèmes il y a de nombreuses années avec Fitbit à l'époque, et nous avons commencé par le formulaire de contact et cela est allé dans l'éther. Rien ne s'est passé. Nous avons essayé d'appeler le support technique, mais c'était le support client, et cela n'a tout simplement pas été traité.

Et tout allait un peu mal. Et puis, par un pur hasard, un ami d'un ami a commencé comme expert en sécurité interne, et c'est un peu un accident de train sur le point de se produire. Et de manière proactive, il a pris le téléphone et a pris contact, a dit: 'Hey Ken, je pense que nous connaissons quelqu'un, nous connaissons le même gars. J'ai entendu dire que vous essayiez de signaler une vulnérabilité. Et à partir de ce qui aurait pu être une situation très difficile où il y a une vulnérabilité, elle n'est pas corrigée, le fournisseur n'écoute pas. En fait, il a été très rapidement raccourci et le produit a été réparé très rapidement. Le firmware est mis à jour en un peu plus d'une semaine, et ce fut une véritable success story pour tout le monde.

Laurier: C'est excellent. Je suppose que c'est ce que nous voulons entendre davantage. À droite?

Ken : Ouais. Je souhaite juste que cela se produise à chaque fois.

Laurier: Eh bien, c'est probablement aussi ce qui rend votre travail si intéressant. Que pensez-vous de la pénurie actuelle de professionnels de la sécurité ? Dans l'ensemble de l'industrie, quelles sont les choses que vous recherchez ou que vous aimeriez pouvoir agiter avec une baguette magique et réparer ? Comment réparez-vous le pipeline des professionnels de la sécurité ?

Ken : Gosh, c'est une question profonde. C'est bien connu, il y a une pénurie de compétences. Je pense que l'un des vrais défis certainement dans le domaine des tests d'intrusion, où les gens piratent de manière éthique, est qu'on oublie souvent à quel point il est important de pouvoir communiquer. Je veux dire, des compétences techniques impressionnantes sont essentielles, mais en fait, ce sont ces compétences en communication qui sont souvent oubliées, car si les résultats de vos découvertes ne sont pas communiqués de la bonne manière, au bon public, à la bonne personne, alors en fait, les choses ne sont pas réparées.

Alors que nous avons un programme d'académie - nous prenons les gens, nous les encadrons, ils ont des compétences brutes, nous les transformerons en testeurs de plumes à part entière. Ce que je recherche vraiment, c'est cette capacité de communication. Si vous ne pouvez pas communiquer les choses étonnantes que vous avez trouvées, je dirais que vous pourriez aussi bien ne pas avoir pris la peine de les trouver.

Laurier: Je vais juste dans ce vieux dicton, eh bien, mon vieux dicton - la technologie est facile, les gens sont difficiles.

Ken : Totalement.

Laurier: C'est le genre de compétences que, semble-t-il, la plupart des entreprises réalisent maintenant que vous pouvez enseigner la technologie, n'est-ce pas ? Vous pouvez enseigner le codage. Vous pouvez enseigner ces compétences. Certaines personnes ont évidemment une capacité innée à les faire, mais la communication est ce qui est essentiel, pour amener toute votre organisation à ce niveau et est en fait un différenciateur concurrentiel.

Ken : Oui, c'est une vraie surprise en fait. J'encourage vraiment fortement les gens à réfléchir à qui ils parlent. Vous faites donc quelque chose de cool, d'intelligent, de très intelligent et de technique, mais en pensant au public, à la personne qui reçoit cela, pensez à la façon dont il va recevoir cela et à la manière dont ce problème sera résolu le plus rapidement.

Laurier: Ouais, tout tourne autour des utilisateurs, n'est-ce pas ? Ou vos clients et dans un certain sens, ils sont vos clients parce que vous essayez de développer cette relation d'une manière ou d'une autre avec un parfait inconnu et de leur faire part de certaines mauvaises nouvelles.

Pensez-vous que parce que la sécurité devient plus importante au sein de l'organisation, ce n'est plus une fonction de back-office que les gens considèrent peut-être comme une profession plus intéressante, parce que c'est en quelque sorte à découvert, les gens en parlent . Il n'est plus caché derrière une sorte de rideau noir.

Ken : Ouais, c'était génial de voir le plus grand profil qui a été apporté à l'industrie cybernétique, cependant. De plus en plus de cours de niveau universitaire commencent à apparaître, ce qui est fantastique, ce qui améliore l'offre d'individus. Mais je pense que de nombreuses organisations, en particulier celles qui ont subi des violations très médiatisées, ont peut-être appris à leurs dépens que la seule façon de vraiment gérer le cyber est de l'intégrer à l'entreprise. Si vous l'intégrez en tant que filiale du service informatique, cela ne sera vraiment qu'une réflexion après coup. Alors que si vous l'intégrez à l'entreprise et que vous rendez quelqu'un vraiment responsable, qui comprend vraiment comment évaluer les risques et communiquer les risques, s'ils sont assis au niveau exact, ils sont assis au conseil d'administration, alors je pense que vous verrez un changement de mentalité au sein de l'organisation.

J'enseigne un peu au niveau du conseil d'administration, et c'était formidable de voir comment, si vous pouviez amener le PDG à commencer à penser à sa sécurité personnelle, à sa sécurité personnelle, à la sécurité de sa famille. Ils commencent à penser aux mots de passe, ils commencent à penser à mettre à jour les systèmes, ils commencent à penser à enseigner aux gens, et tout d'un coup, vous voyez ce changement d'état d'esprit s'infiltrer du haut de l'entreprise jusqu'aux gens. Ainsi, au lieu d'essayer d'intégrer la sécurité dans une organisation, elle se fige en fait depuis le sommet et imprègne tout ce que fait l'entreprise.

Laurier: Certainement plus une approche axée sur la sécurité. Et quand dans le cadre de tout, vous ne le considérez pas tellement comme une intrusion dans votre fonctionnement quotidien.

J'aimerais cadrer notre discussion d'une manière qui explique comment une violation de la cybersécurité peut se produire n'importe où, évidemment avec les employés, les produits et même l'immeuble de bureaux physique dans lequel se trouve votre entreprise. Pouvez-vous expliquer pourquoi la sécurité physique est essentielle pour que les entreprises réfléchissent ?

Ken : Oh mon Dieu. Au fur et à mesure que vous commencez à améliorer votre cybersécurité, vous commencez à améliorer vos défenses, vous commencez donc à constater qu'il est de plus en plus difficile de pénétrer votre organisation à partir d'Internet. Et j'espère que même si quelqu'un le pénètre à distance, vous disposez d'outils qui vous alertent, ainsi qu'une équipe de personnes, pour le signaler. Il devient de plus en plus difficile de pénétrer le périmètre de l'organisation. Et c'est à ce moment-là que les types d'attaques physiques à plus haut risque commencent à devenir intéressants. Lorsque nous commençons à parler d'ingénierie sociale, lorsque notre travail consiste à bluffer notre chemin dans une organisation, à planter une porte dérobée physiquement à l'intérieur de l'organisation ou à voler physiquement des données. Le truc des films, non?

Mais souvent, vous constatez que ces deux camps sont en fait assez étroitement liés. J'aime rechercher le shadow IT dans une organisation. J'aime chercher le système de gestion du bâtiment. Le CVC, la chose qui contrôle vos ascenseurs, qui les contrôle monter et descendre. La technologie qui contrôle l'éclairage de votre portail. La technologie qui contrôle vos serrures électroniques, vos contrôles d'accès. Pourquoi? Parce que ces systèmes se trouvent souvent en dehors de votre service informatique conventionnel. Peut-être que les gens dans les installations ont mis cela en place. Peut-être que le sous-traitant a sous-traité à un tiers qui a un accès à distance, ce qui a été mal fait. Cela semble tiré par les cheveux ? Eh bien, il y a eu beaucoup de grandes brèches qui se sont produites exactement par cette voie.

Alors si on fait de l'ingénierie sociale et que je trouve vos contrôleurs de gestion d'immeubles sur l'internet public, pas difficile à faire. Marchez jusqu'au bureau, ouvrez les serrures de porte électroniquement, à distance, et les portes s'ouvrent en grand. En vous allez.

Laurier: Trouvez-vous que votre entreprise est un mélange homogène de ces vulnérabilités de violation de données ainsi que du physique, ou les gens se concentrent-ils sur les données et y pensent-ils d'abord, puis le physique plus tard ?

Ken : J'aime penser que c'est un mélange des deux. Je pense que certaines des organisations les plus clairvoyantes et avant-gardistes se rendent compte qu'il s'agit d'une combinaison. Vous devez aborder les deux. Oui, vous pouvez équiper l'organisation, vous pouvez l'attaquer à distance et vous pouvez vous assurer qu'elle est bien configurée pour détecter et répondre aux cyber-violations, mais en même temps, vous devez également couvrir le côté physique .

D'après mon expérience, lorsque vous travaillez avec le côté physique de l'entreprise, vous commencez à aider l'organisation à établir des ponts entre son service informatique et son équipe d'installations. Et une fois qu'ils parlent, une fois que l'équipe de sécurité fiscale parle à l'équipe de cybersécurité, vous en ressortez des choses vraiment intéressantes. Vous obtenez des équipes qui commencent à travailler ensemble en coopération, ne voyant pas que l'un est dans une boîte et que les autres, eh bien, un autre est quelque part complètement différent.

Laurier: Alors, quelles sont certaines des bases que les entreprises peuvent examiner lorsqu'elles pensent aux vulnérabilités et peuvent peut-être faire les choses elles-mêmes avant de faire appel à quelqu'un comme vous pour les aider ?

Ken : Oh, simple. Numéro un, alors de quoi dînons-nous? Nous dînons sur des mots de passe pas assez complexes, réutilisés, par défaut ou vides. Vous les corrigez, et vous allez rendre notre vie beaucoup plus difficile. Prochain gros problème, patcher. Je sais que c'est tellement ennuyeux, mais en fait les correctifs manquants, les vulnérabilités exposées, les correctifs sont là pour corriger les vulnérabilités. Vous corrigez les patchs, vous me compliquez la vie. Et la dernière chose que je regarde, ce sont les gens. Vous pouvez donc soit blâmer les gens pour avoir cliqué sur des liens dans des e-mails et répondu à des hameçons, soit vous pouvez leur apprendre et les former. Ils peuvent soit être votre pire ennemi de la sécurité, soit être une autre paire d'yeux qui regardent, repèrent, signalent, se sentent éduqués et responsabilisés. Donc, mon conseil avant de vous approcher de faire entrer des tiers, triez les mots de passe, triez vos correctifs et enseignez aux gens ce qu'est le cyber.

Laurier: Hygiène de sécurité de base. Comment les entreprises travaillent-elles avec des partenaires pour s'assurer que les composants de leur produit sont sécurisés ? Donc, cette chaîne d'approvisionnement tierce - cela pourrait être n'importe quel produit, mais je pense vraiment à une voiture construite à Detroit et équipée d'un GPS d'un autre fournisseur et d'un centre de divertissement d'un tiers. Et c'est littéralement une description très basique des fournisseurs tiers dans une voiture, mais je pense que c'est ce à quoi nous pensons lorsque nous pensons au piratage. Ainsi, lorsque nous examinons l'ensemble de l'écosystème des fournisseurs tiers, par où commenceriez-vous si vous êtes un vendeur de voitures ou une entreprise ?

Ken : C'est donc formidable de mettre de l'ordre dans votre propre maison et de régler votre propre sécurité. Mais si souvent que l'attaquant se déplacera vers la partie la plus vulnérable, et ce sera probablement votre chaîne d'approvisionnement. Parce que c'est votre organisation, ce sont vos données, ce sont vos clients. Vous prenez ces informations et la cybersécurité très au sérieux. Mais dès que vous commencez à vous lancer dans la chaîne d'approvisionnement, ce ne sont plus leurs données. Donc, la première chose à faire est de commencer à poser des questions.

Rien qu'en commençant à poser des questions, vous commencerez très vite à apprécier la maturité de vos fournisseurs en matière de cybersécurité. Je vois souvent des organisations qu'on nous demande d'auditer et dire : 'Eh bien, nous ne pouvons pas partager ces informations avec vous pour des raisons de cybersécurité', et vous vous rendez compte que ce n'est qu'un écran de fumée. Votre fournisseur devrait être très heureux de partager ses processus de sécurité avec vous, car le simple fait d'avoir un processus de cyber ne signifie pas exposer des vulnérabilités. Montrer qu'il s'agit d'une organisation mature qui prend en charge la cybersécurité et la sécurité des données qu'elle traite pour vous devrait être un processus ouvert. Posez des questions, auditez vos fournisseurs, parlez-leur de la sécurité. Et plus que tout, un conseil que vous pouvez retenir de cette petite interview, intégrez la cybersécurité dans vos conditions contractuelles d'approvisionnement. Ce qui signifie A, ils réfléchissent sérieusement au cyber avant de signer votre contrat, et B, si ça tourne mal, vous avez un droit de recours. Vraiment, vraiment important. Intégrez le cyber dans vos achats.

Laurier: Diriez-vous que les entreprises vérifient souvent leurs fournisseurs tiers ? Est-ce une nouvelle façon de penser que les entreprises doivent vraiment, comme vous l'avez dit, intégrer dans chaque partie de leur façon de travailler avec des fournisseurs externes ?

Ken : Parfois. J'ai donc fait de la sensibilisation et de l'enseignement dans la profession juridique sur exactement ce concept. Je le fais depuis quelques années maintenant, et cette année vient de s'écouler, j'ai dit, écoutez, est-ce que quelqu'un a réellement intégré le cyber dans ses contrats ? Et une main s'est levée dans l'assistance, et j'ai senti une petite lueur. Ils ont dit : 'Oui, nous avons suivi votre conseil. Nous avons intégré le top 10 des projets de sécurité des applications Web ouvertes dans nos contrats de développement tiers. Ils s'engagent donc contractuellement à fournir du code qui n'est pas vulnérable au top 10 de l'OWASP [Open Web Application Security Project], et j'ai pensé que c'était une énorme victoire. Un petit pas. Alors s'il vous plaît, tout le monde, faites cela. Intégrez des conditions de cybersécurité simples dans les contrats, et cela vous facilitera grandement la vie en cas de problème.

***

Laurier: La cybersécurité ne consiste pas seulement à arrêter les menaces que vous voyez. Il s'agit d'arrêter ceux que vous ne pouvez pas voir. C'est pourquoi la sécurité Microsoft emploie plus de 3 500 experts en cybercriminalité et utilise l'IA pour aider à anticiper, identifier et éliminer les menaces afin que vous puissiez vous concentrer sur la croissance de votre entreprise, et que la sécurité Microsoft puisse se concentrer sur sa protection. En savoir plus sur microsoft.com/cybersecurity .

***

Laurier: Alors, en prenant du recul et en regardant de loin, comment les réglementations et les normes de sécurité peuvent-elles réellement aider les entreprises ? Souvent, ils ont probablement l'impression d'être seuls, mais il existe des agences ou des départements comme le NIST [National Institute of Standards and Technology] qui peuvent les aider.

Ken : Oui il y en a. La réglementation fait donc étonnamment défaut dans le cyberespace. C'est quelque chose pour lequel je fais du lobbying et pour lequel je fais campagne depuis un certain nombre d'années maintenant, en particulier dans le domaine de l'IoT grand public [Internet des objets]. C'est quelque chose d'un Far West. Nous continuons à trouver des vulnérabilités très graves jour après jour dans les produits IoT grand public. Et mon sentiment, bien que je ne sois pas un grand défenseur de la réglementation parce que je préfère de loin la dynamique du marché libre, dans l'espace IoT grand public, je pense qu'il y avait de très bons arguments en faveur de la réglementation. J'ai été très heureux de voir qu'en Californie, le projet de loi 327 du Sénat a été promulgué, est entré en vigueur le premier janvier de cette année. Et ce qui m'a rendu super heureux, c'est que l'introducteur des projets de loi a cité certains de nos travaux sur une poupée Bluetooth pour enfants vulnérables appelée My Friend Cayla comme l'inspiration et le catalyseur de cette réglementation. Et même si la réglementation est assez basique, je pense que c'est un très bon pas dans la bonne direction. Et c'est triste, mais en particulier dans l'IdO grand public, je pense que nous avons besoin d'une réglementation.

Nous avons également eu quelques succès au Royaume-Uni. Nous venons de terminer la consultation et le gouvernement s'est engagé à introduire une réglementation de base pour protéger les consommateurs des fabricants de produits intelligents qui ne jouent pas en toute sécurité avec nos données et notre vie privée.

Laurier: Pouvez-vous nous parler un peu de mon amie Cayla ? C'était une expérience intéressante.

Ken : So My Friend Cayla est une poupée interactive pour enfant parlante que j'ai découverte il y a environ cinq ans. Maintenant, elle a utilisé une application mobile pour écouter les mots que l'enfant disait à la poupée, les transformer en texte, puis répondre à un certain nombre de questions. Ainsi, l'enfant pouvait avoir une conversation interactive avec un chariot, ce qui était très amusant. Maintenant que j'ai vu cette poupée, j'ai réalisé qu'elle communiquait via Bluetooth avec le téléphone portable. Donc, ce que je voulais savoir, c'était à quel point cette connexion Bluetooth était sécurisée ? Et le problème était que ce n'était pas vraiment le cas.

Ainsi, lorsque vous connectez votre téléphone portable à votre véhicule pour pouvoir passer des appels téléphoniques, vous saisissez un code PIN, n'est-ce pas ? NIP à six chiffres. Et cela crée une connexion relativement sécurisée. Le problème avec My Friend Cayla est que lorsqu'elle se connecte à votre téléphone, il n'y a pas de code PIN du tout, ce qui signifie que toute personne à proximité peut rejoindre et se connecter. Encore une fois, le hacker en moi pense, je me demande si je peux faire jurer la poupée de ce gamin innocent ? Nous avons donc réalisé que nous pouvions altérer l'application mobile, et l'enfant pouvait dire tout ce qu'il voulait au chariot, et elle jurerait tout de suite. Je l'ai donc enregistrée pour vous juste ici.

Enregistrement: Hey, calme-toi ou je t'enlève le [bip].

Laurier: C'est incroyable.

Ken : Mais pire que cela, comme il n'y avait pas de cryptage sur la connexion Bluetooth, n'importe qui à proximité pouvait se connecter au microphone de la poupée et écouter vos enfants, ou au haut-parleur de la poupée et parler à votre enfant. Donc, nous parlons des gens dans la maison voisine, des gens dans la rue à l'extérieur. Ainsi, les gens pourraient ramper sur vos enfants à travers cette poupée ou pire, ils pourraient espionner vos conversations dans votre maison parce que vous avez mis un chariot intelligent et l'avez donné à l'un de vos enfants. Et je ne sais pas pour vous, mais il y a des conversations que je ne voudrais pas que mes voisins écoutent. À droite? Encore une fois, notre vie privée a été complètement envahie par une belle idée de poupée interactive pour enfant.

Maintenant, la bonne nouvelle est que nous l'avons signalé au fournisseur qui l'a rejeté d'emblée et nous a accusés d'avoir organisé une farce, mais heureusement, le régulateur allemand des télécommunications s'est rendu compte que cela violait certaines lois sur la vie privée des consommateurs et l'espionnage qui restaient juste après la deuxième [ World] War, et du jour au lendemain ils ont interdit la poupée. Il était illégal de posséder cette poupée en Allemagne. Il y a donc de bonnes nouvelles à en tirer

Laurier: Et un bon exemple de la façon dont la réglementation peut aider dans ces cas spécifiques. Pour rester sur le sujet des appareils grand public et pour le rejoindre avec une autre tendance très populaire, qui est d'apporter votre propre appareil au travail, ou BYOD, que se passe-t-il lorsque la machine à café Wi-Fi au travail est connectée et pourrait être un point de lancement sans méfiance pour qu'un pirate informatique lance réellement une attaque sur le lieu de travail ? Quels sont les autres appareils vulnérables que les entreprises ne pensent peut-être pas à prendre en compte ?

Ken : Oui, donc BYOD est souvent considéré comme des smartphones et des tablettes utilisés pour faire du travail. Pour moi, c'est un truc intelligent qui entre dans l'espace de travail. Ma toute première recherche sur l'IdO portait sur une bouilloire compatible Wi-Fi, et nous avons découvert qu'une fois connecté à votre réseau, je pouvais rester dans la rue, me connecter à la bouilloire et voler votre mot de passe Wi-Fi à ce. Alors oui, je pourrais pirater ta maison. Et si vous l'apportiez au bureau pour faire une tasse de thé ou une tasse de café, vous pourriez également voler votre mot de passe Wi-Fi professionnel. Le BYOD est donc une réelle préoccupation pour moi en ce moment. Nous avons commencé à nous intéresser aux réfrigérateurs intelligents il y a quelque temps, donc, encore une fois, il est difficile d'acheter des biens, des biens consommables, des produits blancs, à mettre dans vos bureaux qui ne sont plus intelligents.

Nous avons regardé un réfrigérateur intelligent Samsung avec un grand écran sur la porte. C'était vraiment amusant. Il y avait donc une caméra à l'intérieur et un grand écran à l'extérieur. Et l'idée était que vous pouviez voir ce qu'il y a à l'intérieur sans ouvrir la porte. Et je pense, pourquoi n'ouvrirais-je pas simplement la porte ? Sûrement. Mais quoi qu'il en soit, ce que nous avons découvert, donc pour être intelligent, il fallait se connecter à Internet, afin de vous informer des choses et des produits expirant, sortant après leur date d'échéance, il fallait pouvoir vous envoyer un e-mail. Et nous avons découvert que vous pouviez passer devant le réfrigérateur de quelqu'un et voler votre mot de passe Gmail dans un réfrigérateur. Ce qui est idiot, non ?

Mais nous voyons également des appareils Bluetooth. Nous avons vu des machines à café intelligentes complètement vulnérables. Vous pouvez donc faire des choses folles comme arrêter le fonctionnement de la machine à café. Mais ensuite, nous avons commencé à voir des appareils pouvant être utilisés en complément de votre organisation. Nous avons donc commencé à revoir, encore une fois, la technologie de l'ombre, rendue intelligente, de sorte que les gens des installations puissent administrer, je ne sais pas, les lignes de portail ou le CVC à partir de leur téléphone portable, en utilisant une application. Et puis nous découvrons qu'il y a des vulnérabilités dans l'application, l'API dans le produit intelligent également, et vous pouvez l'utiliser comme une porte dérobée dans l'organisation. Ainsi, le BYOD dans le contexte des appareils intelligents rend les entreprises plus vulnérables.

Laurier: Je pense également à des espaces de bureau très brillants avec des téléviseurs intelligents par défaut pour les conférences téléphoniques et même des tableaux blancs intelligents, n'est-ce pas ?

Ken : Ouais. Vous souvenez-vous d'une histoire il y a peu de temps sur les téléviseurs intelligents Samsung qui se sont avérés vous écouter? Vous vous souvenez de celui-là ?

Laurier: Oh oui.

Ken : Oui, c'était notre travail. Une étincelle lumineuse avait été remarquée dans les conditions générales... Qui lit les conditions générales de votre téléviseur, n'est-ce pas ? Personne ne le fait. Mais une étincelle brillante l'avait lu et y avait vu une phrase qui disait quelque chose comme : 'Ne dites rien de sensible autour de votre téléviseur'. Et maintenant, cela a un peu de couverture. Nous avons repris cela, car j'avais un téléviseur intelligent Samsung avec commande vocale à la maison. Alors je suis rentré chez moi ce soir-là, j'ai récupéré ma télévision, je l'ai emportée dans mon bureau le lendemain avec une grande partie de la confusion de ma femme, et nous l'avons branchée à des produits reniflants. Nous avons installé certaines technologies et avons commencé à écouter le trafic Internet envoyé par le téléviseur. Je me demande donc s'il y a quelque chose de plus à cela. Et nous avons découvert que non seulement la télévision vous écoutait, mais qu'elle envoyait également ce que vous disiez en texte brut, non crypté, sur l'Internet public à des tiers à l'étranger. Et c'était vraiment désagréable.

Laurier: Incroyable. Votre travail est juste, s'infiltre dans tous les coins, ce qui, je pense, est tout l'intérêt, n'est-ce pas ? Au fur et à mesure que nous devenons plus intelligents et que nous voulons faire les choses plus rapidement, de n'importe où et à tout moment, nous devons en fait penser d'abord à la sécurité et à la façon dont nous intégrons cela dans presque toutes les actions.

Ken : Je pense que c'est pour des raisons d'efficacité, d'économie et simplement pour travailler intelligemment. Je pense que la technologie s'immisce dans tout ce que nous faisons et le problème, c'est qu'elle se précipite sans que l'on ait suffisamment pensé à la sécurité. Donc, nous rendons les choses intelligentes et les rendons vulnérables.

Laurier: Puis-je faire le lien avec les défauts supersystémiques ? Donc, quand nous faisons cela et que nous avons ensuite une distribution massive de n'importe quoi, que ce soit une application ou un téléviseur, que se passe-t-il alors ? Comment revenir en arrière sur la vulnérabilité alors qu'elle est partout ?

Ken : Nous avons parlé brièvement de la sécurité des API, donc chaque fois que vous faites quelque chose d'intelligent, vous allez probablement le connecter à une application mobile. C'est probablement le but de le rendre intelligent, de sorte que vous le rendiez facile à administrer à distance afin que vous puissiez voir vos affaires à la maison, dans votre bureau, votre CCTV de n'importe où dans le monde. Et pour ce faire, vous aurez besoin d'une API.

Et ce gros problème que nous continuons à trouver est que tous les produits intelligents, ils ont des API et ils ne sont pas suffisamment sécurisés. Ce n'est donc pas comme peut-être pirater un appareil. C'est une chose de monter sur un appareil intelligent dans la maison ou le bureau d'une personne et de pirater l'un d'entre eux. Ce qui me dérange vraiment, c'est quand nous avons découvert que nous pouvons pirater tous les appareils à distance et tout d'un coup, vous commencez à penser à un véhicule intelligent et vous découvrez une vulnérabilité dans l'API qui vous permet d'arrêter tous les véhicules de cette flotte qui utilise l'application. Vous arrêtez donc des flottes entières de véhicules.

Et c'est ce que nous entendons par supersystémique. Il s'applique à l'ensemble des écosystèmes d'appareils. Revenant souvent à un seul fournisseur de plate-forme qui a peut-être fourni des services à de nombreuses marques et fournisseurs différents. Une vulnérabilité affecte tout.

Laurier: Combien de fois par jour quelqu'un mentionne-t-il, êtes-vous sûr que nous ne vivons pas dans un épisode de Miroir noir ?

Ken : Eh bien, curieusement, l'une de mes premières sorties à la télévision a été avec le producteur de Miroir noir . Je l'ai présenté à mon ami Cayla il y a de nombreuses années. C'est un gars très, très brillant. Ouais.

Laurier : Et ça le hante depuis. Ouais.

Ken : Je le pense. C'est le problème que nous avons, c'est que nous nous précipitons. Nous allons trop vite. Ne vous méprenez pas. Certains fournisseurs prennent la sécurité très au sérieux et le font très bien, et je les félicite. Le problème est qu'ils sont vraiment l'exception à la règle. Je souhaite que chaque fournisseur soit aussi engagé, et c'est pourquoi je suis attristé de penser que la réglementation est le seul moyen, car à moins que nous n'obligions les fabricants à commencer à jouer comme les bons, je ne pense pas qu'il y aura une incitation financière commerciale pour qu'ils le fassent. Il n'y a aucun moyen d'étiqueter les produits. Il n'y a aucun moyen de déterminer quels produits sont plus sûrs que les autres, c'est pourquoi je pense malheureusement que la réglementation est la réponse.

Laurier: Intéressant. Vous seriez donc presque comme un label de commerce équitable pour la sécurité.

Ken : Oui, il y a eu pas mal de travail là-dessus dans divers pays. Je sais qu'il y a eu du travail aux États-Unis et certainement en Europe également, mais le défi est de savoir comment fournir une étiquette unique qui indique à quel point un produit est sûr ou non. C'est une chose vraiment difficile à faire parce que la sécurité a tellement de facettes. Vous pensez à l'appareil intelligent moyen, il y aura des puces dessus. Il y aura du firmware là-dedans. Il va avoir des trucs de radiofréquence comme le Wi-Fi ou le Bluetooth, peut-être ZigBee ou Z-Wave. Il va avoir une API, il va avoir une application mobile. Il va avoir une infrastructure cloud. Il va avoir une plate-forme télématique. C'est tellement complexe que cela rend l'étiquetage vraiment, vraiment difficile.

Laurier: Que se passe-t-il dans les industries hautement réglementées ? J'ai lu un article sur les satellites. Comment pirater un satellite ou sécuriser un satellite ?

Ken : Cela a été fait, et en fait, je suis très impliqué dans le village de l'aviation et de l'aérospatiale de Defcon. Nous avons eu notre première sortie l'été dernier, et au cours de l'année suivante, nous avons suscité un certain intérêt de la part des fabricants et des opérateurs de satellites. Et nous espérons construire une plate-forme à Defcon pour les personnes, les chercheurs, les parties intéressées pour aider à assurer la sécurité des satellites, ce que je trouve formidable. Il s'agit d'impliquer toute la communauté pour aider l'ensemble de l'industrie à améliorer sa cybersécurité.

Maintenant, il y a un exemple d'industrie réglementée, je pense que j'aimerais le citer comme un bon exemple. Ainsi, aux États-Unis, les appareils de soins de santé intelligents, dont un sous-ensemble sont certainement réglementés et approuvés par la Food and Drug Administration. Et c'était l'un des tout premiers domaines où une réglementation a été introduite qui a fait une réelle différence. Et je félicite ce marché d'avoir fait de grands pas vers la cybersécurité. Pourquoi? Eh bien, parce que nous parlons d'appareils de vie ou de mort. Nous parlons d'appareils qui nous maintiennent en vie. Encore une fois, un excellent argument pour introduire des normes, améliorer le jeu de chacun et montrer que nous pouvons réellement créer des dispositifs sécurisés qui nous protègent et nous maintiennent en vie.

Laurier: J'ai l'impression que nous avons entendu une histoire il y a quelques années sur le piratage de stimulateurs cardiaques. Cela semble donc être une bonne raison de réglementer.

Ken : Ouais, c'était vraiment génial que la FDA intervienne en fait. Était-ce un manque d'attention aux détails, peut-être pour donner à de nombreux fabricants le bénéfice du doute, je pense que c'est probablement qu'ils n'ont tout simplement pas suffisamment réfléchi à la cybersécurité. Vous allez vous procurer certains composants ; vous allez chercher du développement, et trop souvent des hypothèses sont faites quant à savoir si les appareils sont cyber-sécurisés. Et je pense qu'en fait, ce que la réglementation a fait, c'est qu'elle a encouragé les gens et forcé les gens à aller poser ces questions difficiles, pour s'assurer que les développeurs que vous utilisez deviennent cyber et que les chipsets que vous utilisez ont des performances raisonnables des fonctionnalités de sécurité comme un environnement d'exécution de confiance, un stockage sécurisé, une bonne source d'entropie, toutes ces choses utiles que si vous ne posez pas les questions ou ne spécifiez pas dans votre approvisionnement, vous n'obtiendrez pas.

Laurier: Alors racontez-moi une histoire sur l'un de vos exploits de test de pénétration préférés.

Ken : Oh mon Dieu. Où est-ce que je commence?

Laurier: Eh bien, j'ai en quelque sorte donné un indice au début de l'épisode avec la plate-forme pétrolière.

Ken : Ah, donc plus récemment, nous avons commencé à nous intéresser au maritime. Nous nous sommes donc penchés sur l'expédition. C'est un domaine qui a vraiment peu retenu l'attention de la cyber-industrie au cours des dernières années. Et la raison en est que les navires étaient principalement hors ligne. Vous aviez le Wi-Fi à terre et la 4G lorsque vous êtes à terre, mais dès que ce navire a mis les voiles, vous êtes effectivement hors ligne.

Oui. Ainsi, vous pouvez obtenir un téléphone satellite, mais ils sont chers et vous pouvez utiliser les satellites à large bande de la flotte, mais leur consommation de données est effroyablement coûteuse. Donc, à toutes fins utiles, un navire, une fois qu'il a mis les voiles, il était hors ligne. Et tout cela a changé il y a deux, trois, quatre ans avec l'avènement du VSAT.

Tout d'un coup, les satcoms sont devenus abordables, et cela signifiait que les navires pouvaient commencer à être surveillés pour l'efficacité, l'utilisation du carburant, la routine, toutes ces choses importantes qui permettent à tout le monde d'économiser de l'argent. Et cela signifiait également que votre équipage - vous pouviez embaucher le meilleur équipage parce qu'ils voulaient des plans de données, ils voulaient un accès aux médias sociaux et vous pouviez le leur donner. Vous avez donc les meilleures personnes travaillant sur les meilleurs navires, offrant la meilleure efficacité. Fantastique.

Mais en cours de route, personne n'a pensé au cyber. Ainsi, les navires étaient connectés à Internet sans penser à la sûreté et à la sécurité de ce navire. Donc, ce que nous avons fait au cours des deux dernières années, c'est de travailler sur des navires avec des opérateurs avant-gardistes qui disent, OK, vérifions cela.

Et un bon exemple était une plate-forme de forage d'exploration que nous avons examinée. C'était une organisation qui faisait de l'exploration de puits à un stade précoce. Il y avait une plate-forme automotrice et avait une connectivité satellite VSAT, et on nous a demandé de voir si nous pouvions en théorie interrompre sa capacité de forage. Et ce que nous avons constaté, c'est un manque de ségrégation efficace entre les différents réseaux. Ainsi, nous pouvions forer des réseaux de contrôle, nous pouvions accéder à des réseaux d'entreprise, nous pouvions accéder à des réseaux d'équipage, nous pouvions voir Internet, nous pouvions tout voir.

Et bien que l'organisation ait pris des mesures assez raisonnables pour sécuriser les choses, ce qui se passe, c'est que l'équipage en opération brise souvent cette ségrégation. Pourquoi? Parce que je veux diffuser Spotify lorsque je travaille sur la tête de forage, ils installent donc un routeur Wi-Fi pour que je puisse avoir Spotify sur mes écouteurs pendant que je suis sur le pont. Et puis nous avons découvert des choses aléatoires comme l'accès à distance, accessible depuis l'Internet public. Et ce qui s'est essentiellement passé, c'est que nous avons découvert sur Internet public sans aucune authentification, que nous pouvions prendre le contrôle du moteur et d'autres systèmes critiques sur des navires et des plates-formes du monde entier.

Éteindre littéralement les moteurs, allumer les moteurs, affecter l'appareil à gouverner, écraser potentiellement les navires en interférant avec les systèmes de navigation si nous le voulions. Maintenant, il y a eu très peu d'activité criminelle dans cet espace, mais elle commence à émerger. Nous commençons à voir apparaître des affaires judiciaires, où si vous analysez ensuite les documents judiciaires, vous verrez des preuves d'attaques.

Il y a quelques années, il y a eu une attaque contre un superyacht appelé Lady May qui a fait l'objet d'une enquête du FBI, et il semble que certains des systèmes de contrôle du navire aient été trafiqués par des inconnus, peut-être des puissances étrangères. Cela a déjà fait la presse, mais il y a de plus en plus d'histoires anecdotiques et d'histoires qui commencent à faire la presse de l'industrie au sujet de navires qui subissent des choses comme des ransomwares sur les systèmes de navigation ou des piratages directs et délibérés.

Laurier: Terrifiant.

Ken : Ouais. Le plus triste, c'est que la plupart de cela se lit comme le script de les pirates , le film, alors oui. les pirates Il y a plus de 20 ans prédit l'avenir.

Laurier: Ne fait pas souvent de la science-fiction. Écoute, Ken, merci beaucoup de m'avoir rejoint pour cette conversation incroyable sur Business Lab. J'apprécie vraiment cela.

Ken : Merci. Ravie de te parler.

Laurier: C'était Ken Munro, fondateur et partenaire de Pen Test Partners, avec qui j'ai parlé de Cambridge, Massachusetts, siège du MIT et du MIT Technology Review, surplombant la rivière Charles. Merci également à notre partenaire, Microsoft Security.

C'est tout pour cet épisode de Business Lab. Je suis votre hôte, Laurel Ruma. Je suis le directeur d'Insights, la division de publication personnalisée de MIT Technology Review. Nous avons été fondés en 1899 au Massachusetts Institute of Technology, et vous pouvez nous trouver dans des imprimés sur le Web et lors de dizaines d'événements en direct chaque année dans le monde. Pour plus d'informations sur nous et sur le salon, veuillez consulter notre site Web à l'adresse technologyreview.com.

Cette émission est disponible partout où vous obtenez vos podcasts. Si vous avez apprécié cet épisode, nous espérons que vous prendrez un moment pour nous évaluer et nous donner votre avis. Business Lab est une production de MIT Technology Review. Cet épisode a été produit par Collective Next. Merci pour l'écoute.

Les menaces de sécurité sont partout. C'est pourquoi Microsoft Security compte plus de 3 500 experts en cybercriminalité surveillant en permanence les menaces pour vous aider à protéger votre entreprise. Plus à microsoft.com/cybersecurity .

cacher