Je travaille dans la cyber-sécurité depuis 20 ans (paye ton coup de vieux) et il y a un truc qui m’est de plus en plus frustrant depuis quelques semaines, c’est donner à mes clients des conseils pour améliorer leur posture cyber, sans appliquer ces bonnes pratiques à moi-même.
En l’occurrence, depuis que je suis passé à la fibre en août dernier ( je revenais d’une liaison ADSL de 3Mb de débit max, la préhistoire), j’ai mis en place sur mon home network :
- Un NAS Synology DS918+ qui héberge toutes mes données, mes films, mes musiques, etc.
- Un backup automatisé dans le cloud, avec chiffremement côté client.
- Une VM avec Proxmox sur un NUC Intel I5 avec Jeedom en système domotique.
- Pas mal de devices connectés (des ampoules Xiaomi, des rubans LED connectés, une tablette Amazon, des ampoules chinoises sans marque, connectées elles aussi, des contrôleurs pour ma pompe à chaleur Mitsubishi, des caméras IP Foscan;, etc).
Dans le même temps, on sait que pas mal de ces devices sont la porte d’entrée des hackers qui en veulent à vos données. Pourquoi ? Parce que ces composants sont rarement développés avec comme préoccupation majeure la sécurité, et souffrent de failles de sécurité béantes. A l’inverse des produits grand public – et encore, la sécurité n’est pas suffisamment prise en compte à mon avis – les produits « sans marque » sont plutôt des passoires en terme de cyber et amènent un véritable risque sur votre réseau et les composants qui y sont connectés.
Alors sans attendre la catastrophe – un device compromis qui permettrait à un attaquant de pénétrer sur le réseau ou à un ransomware de se propager, j’ai décidé de tout mettre en oeuvre pour isoler mes devices IoT sur un réseau WIFI séparé de mon réseau WIFI principal.
Première question à se poser : qu’est-ce qu’un device IoT ?
Depuis quelques années, l’IoT débarque dans nos maisons. Qu’y a-t-il de commun entre un assistant vocal, des caméras, une ampoule, une cafetière, une machine à laver, une voiture, une console de jeux, un interphone, une serrure ou encore un thermostat ? Tous ces objets du quotidien peuvent désormais disposer d’une adresse IP, se connectent quelque part dans le cloud et peuvent être contrôlés par une appli smartphone.
Alors pour le moment, les caméras IP non sécurisées sont en libre accès sur Internet, on voit la boulangère vendre du pain, ou des gens attendre leur linge à la laverie. C’est rigolo, on s’éclate et comme « on a rien à cacher » on ne s’attarde pas trop sur le problème.
Demain, c’est le hacker Russe qui pourra vous empêcher de rentrer chez vous en bloquant la serrure connectée de votre domicile. Ou encore augmenter à fond le thermostat de votre pompe à chaleur pour générer des cycles qui finiront par l’abimer. Ou pourquoi pas un hacker qui kidnappe sa victime en verrouillant les portes de sa voiture connectée, pilote la voiture jusqu’à un entrepôt louche sur le port, et ne déverrouille les portes qu’après avoir versé une rançon (vous pensiez pouvoir sortir de votre voiture simplement en cassant une vitre ?)
En menant du pifomètre une analyse de risques empirique, j’en suis arrivé à la conclusion que les devices IoT partagent généralement les caractéristiques suivantes :
- Ils sont généralement propriétaires, ce sont des boîtes bien noires, au contenu bien opaque.
- « sans marque », mais pas que.
- Leur code source n’est pas accessible.
- Ils ne fonctionnent pas sous un OS grand public (Linux, Windows, Android, …).
- Ils se connectent à un service de cloud pour fonctionner.
- Ils ne reçoivent jamais de patches de sécurité.
- Si leur fabricant décide de fermer le service, votre device IoT peut se transformer en un vulgaire bout de plastique.
Une fois qu’on a dit ça, on peut faire un beau tableau pour classifier tous les devices IoT…
| Device | WLAN Home | WLAN IoT |
|---|---|---|
| Mon smartphone Android et celui d’Alexa | X | |
| Le PC sous Windows | X | |
| La TV Sony Android et la box Android Xiaomi | X | |
| Le NAS Synology | X | |
| Alexa et Google Home | X | |
| La tablette Android | X | |
| La VM qui héberge le système domotique Jeedom | X | |
| La tablette Amazon (plus supportée) qui me sert à contrôler mon système domotique | X | |
| Les bandeaux LED de l’éclairage extérieur | X | |
| Les caméras IP | X | |
| La PS4 et la Wii U | X | |
| Les ampoules connectées Xiaomi | X | |
| L’aspirateur connecté | X |
Alors bien sûr, en discutant avec d’autres experts en sécu autour d’une bière, on arriverait à des résultats probablement différents. Mais peu importe, ce qui compte c’est d’avoir une ligne et de savoir la justifier.
Bref, dans les prochains articles, je vais vous montrer comment sécuriser l’IoT avec un réseau Wifi dédié, en déplaçant les devices « à risque » sur un réseau Wifi spécifique, isolé de votre réseau principal, avec les règles de filtrage qui vont bien pour empêcher qu’un device compromis n’entraîne dans sa chute l’intégralité de vos autres composants.
A suivre…
Alors alors on attend la suite 🙂
Pourquoi ce choix pour la TV et la Mi Box ?
La vraie difficulté c’est si on utilise un assistant vocal avec des équipements sur les deux réseaux, comment Jeedom accès aux équipements domotique Wi-Fi sur un autre réseau ?
Un réseau Wi-Fi séparé pour l’IoT c’est bien mais ce n’est pas suffisant s’il a accès au NAS par ex. ou si on veut empêcher qu’un périphérique mal sécurisé se transforme un jour en appareil zombie utilisé pour une attaque informatique 🙂