Sécurité des objets connectés : l’israélien VDOO lève 32 millions de dollars

Créée en 2017 et basée à Tel Aviv, la société israélienne VDOO, qui a développé une plate-forme d’analyse automatisée de la sécurité des objets connectés et des systèmes embarqués, vient de boucler un tour de table de 32 millions de dollars auprès des fonds d’investissement WVRI Capital et GGV Capital ...auxquels se sont notamment associés l’opérateur nippon NTT DoCoMo ainsi que 83North et Dell Technology Capital. Ces deux derniers avaient participé début 2018 à la levée de fonds initiale de VDOO dont le montant avait été de 13 millions de dollars.

Selon la start-up, cette manne financière sera mise à profit pour étoffer les capacités d’analyse automatisée de sa plate-forme de sécurité dont la détection de vulnérabilités zero-day (vulnérabilités n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu), à la fois pour les nouveaux équipements IoT et pour ceux déjà mis sur le marché. La levée de fonds a également pour objectif d’étendre le réseau de partenaires et de distributeurs de VDOO qui inclut déjà NTT, Macnica, DNP et Fujisoft au Japon.

Rappelons que le fondement de la solution de VDOO est son moteur de taxonomie qui analyse, puis classe des dizaines de milliers d'appareils connectés pour déterminer le niveau de sécurité approprié pour chacun d’entre eux en fonction des facteurs de risque, des menaces et de ses attributs technologiques. La plate-forme effectue en fait une analyse de l'écart de sécurité des périphériques IoT par rapport aux exigences de sécurité spécifiques pour chacun d’entre eux, et fournit un plan d'action détaillé recommandé pour combler les lacunes détectées. Une fois les fonctions de sécurité mises en œuvre, VDOO confirme que les exigences de sécurité ont été satisfaites et fournit des certifications physiques et numériques. En outre, l'agent de certification numérique installé sur l'appareil surveille son état de sécurité et le communique à d'autres systèmes tels que des passerelles, des pare-feu, etc. Ce qui apporte une notion de sécurité après déploiement, garantissant que le périphérique n'est pas compromis, précise la start-up.

Au cours des dix-huit derniers mois, VDOO affirme avoir aidé des douzaines d’équipementiers à détecter au global 150 vulnérabilités zero-day et plus de 100 000 failles de sécurité. La plupart des produits vulnérables que la société a pu identifier sont directement connectés à Internet à l’instar des équipements de vidéosurveillance et des caméras connectées et d’éléments réseau comme les passerelles, les routeurs, les commutateurs, les décodeurs TV et les modems. Des problèmes de sécurité ont également été dénichés dans des serveurs NAS, des commutateurs de commande industriels, des imprimantes, des alarmes incendie, des automates programmables, des systèmes de contrôle d’accès et des équipements médicaux. L’électronique grand public n’est pas épargnée ; montres connectées, ampoules électriques, traceurs d’activité, Smart TV et autres dispositifs domotiques ont montré qu’ils ne disposaient pas de mécanismes de base de sécurité comme le chiffrement du trafic, l’intégrité du processus d’amorçage ou la modification des mots de passe par défaut.

La plupart des équipements IoT analysés par VDOO se sont montrés vulnérables aux attaques par injection et exécution de commandes, suivies par l’exploitation de la corruption mémoire et des défauts logiques. Par ailleurs, la majorité d’entre eux disposait d’identifiants qu’il était possible de décrypter en quelques heures.

Avec son approche, VDOO estime s’attaquer à un problème récurrent de l’Internet des objets qui prend de l’ampleur : les cyberattaques qui utilisent la vulnérabilité des innombrables appareils de l’IoT (serrures connectées, alarmes, caméras vidéo, appareils ménagers, téléviseurs…) pour pénétrer au sein de systèmes informatiques d’entreprise, soit pour causer des dommages irréversibles, soit pour faire du chantage et récupérer de l’argent dans le cas d’attaques criminelles. Le nombre et la diversité de ces appareils connectés, combinés au fait que les “attaquants” sont de plus en plus structurés pour mettre en place de futures attaques massives, rendent cette question de la sécurité de plus en plus cruciale.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC https://www.linkedin.com/showcase/embedded-sec/