Deux failles majeures dans des protocoles IoT clés mis à jour par Trend Micro.

Deux protocoles M2M très répandus, MQTT et CoAP, sont victimes de failles de conception et de vulnérabilités. C’est ce qu’affirme dans son dernier rapport, l’éditeur japonais Trend Micro qui décrit des menaces croissantes d’espionnage industriel, de déni de service (DoS) et d’attaques ciblées liées au détournement de protocoles clés de l’IoT.
Il pointe en particulier deux protocoles M2M très répandus : MQTT (Message Queuing Telemetry Transport) et CoAP (Constrained Application Protocol).
Plus 200 millions de messages MQTT et plus de 19 millions de messages CoAP divulgués par des serveurs et des agents de messages exposés ont été détectés en seulement 4 mois par les chercheurs.
Des centaines de milliers de déploiements machine-to-machine (M2M) non sécurisés mettent les entreprises en danger à l’échelle mondiale, prévient Trend Micro.
Intitulé « The Fragility of Industrial IoT’s Data Backbone », un nouveau rapport Trend Micro, publié en collaboration avec l’École Polytechnique de Milan (Politecnico di Milano), met en avant les menaces croissantes d’espionnage industriel, de déni de service (DoS) et d’attaques ciblées liées au détournement de ces protocoles.

En effectuant de simples recherches par mot-clé, les hackers ont pu localiser les données de production dévoilées, tout en identifiant des informations lucratives portant sur des ressources matérielles, humaines et technologiques pouvant faire l’objet d’attaques ciblées.

L’étude démontre comment les hackers peuvent contrôler à distance les Endpoints IoT ou provoquer des dénis de service en exploitant des problèmes de sécurité aux stades de la conception, de l’implémentation et du déploiement d’appareils utilisant ces protocoles. Par ailleurs, en s’appropriant certaines fonctionnalités spécifiques de ces protocoles, les cybercriminels pourraient avoir accès en permanence à une cible qu’ils pourraient déplacer latéralement au sein d’un réseau.

Le rapport est consultable dans son intégralité à cette adresse : https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/mqtt-and-coap-security-and-privacy-issues-in-iot-and-iiot-communication-protocols

Date : 18/12/2018