Top 7 vulnérabilités IoT

L’IoT industriel a conquis les usines, les entrepôts et les produits grand public. Des chaînes logistiques connectées chez Schneider Electric, des vélos intelligents chez Decathlon, des solutions de maintenance prédictive chez Bosch… L’Internet des objets est devenu un pilier de la transformation numérique.

Mais il reste un talon d’Achille : la cybersécurité.

D’après l’ENISA, plus de 60 % des incidents IoT recensés en Europe en 2024 proviennent encore de vulnérabilités connues et non corrigées. Et chez DVID, on constate la même chose au quotidien : dans les audits, les trainings, et les retours de terrain, les mêmes failles reviennent, encore et encore.

Voici les sept vulnérabilités qu’on rencontre le plus souvent — et pourquoi elles résistent toujours.

1. Les identifiants et clés secrets codés en dur

Un mot de passe admin intégré dans le firmware. Une clé API copiée-collée depuis un exemple constructeur. Une clé privée stockée en clair dans la mémoire flash.

“C’est rarement de la négligence, souvent juste un héritage du prototypage.” — Arnaud Courty, Président de DVID

Ce genre de pratique reste monnaie courante, même dans de grands groupes. En 2023, une étude de Palo Alto Networks révélait que 52 % des firmwares analysés contenaient au moins un secret codé en dur.
Une fois le firmware extrait, toute la flotte devient exposée.
Chez DVID, on en a fait un exercice type : extraire la clé, comprendre l’impact, puis apprendre à la sécuriser. Parce que tant qu’on ne l’a pas vu, on ne mesure pas à quel point c’est dangereux

2. Les mises à jour OTA mal protégées

Une mise à jour “Over-The-Air” mal sécurisée, c’est une porte d’entrée royale.

Et ça ne concerne pas que les startups : même Tesla ou Withings ont déjà corrigé des failles dans leur mécanisme OTA.

Les erreurs les plus fréquentes :

téléchargement en clair (HTTP au lieu de HTTPS),
signature absente ou mal vérifiée,
firmware rétrogradable sans contrôle de version.

“On ne peut pas garantir la sécurité d’un produit si on ne maîtrise pas son processus de mise à jour.” — Cert-ENISA, rapport 2024 sur la supply chain IoT

Une bonne pratique consiste à signer les firmwares et à vérifier localement leur intégrité. Dans un training DVID, l’apprenant joue les deux rôles : attaquant qui injecte un firmware piégé, puis défenseur qui met en place la signature.

Un cycle complet qui ancre les réflexes.

3. Les interfaces de debug oubliées

Les interfaces UART, SWD ou JTAG sont les coulisses de l’IoT.

Elles servent à développer, tester, flasher… mais elles devraient être désactivées avant production.

Et pourtant, on les retrouve encore actives sur des objets vendus par des marques connues.

“En 2022, 25 % des vulnérabilités IoT signalées au MITRE concernaient une interface de debug non protégée.” — Rapport MITRE CWE-1247

Sur le terrain, un simple connecteur oublié peut offrir un accès root complet.

Chez DVID, cet exercice est un incontournable : identifier les broches, se connecter, explorer… puis durcir le device.

C’est tangible, visuel et inoubliable.

4. Des services réseau trop bavards

Un objet connecté parle beaucoup — parfois trop.

On a vu des équipements industriels exposer leurs services MQTT sur Internet, ou des capteurs Bluetooth diffuser des informations sensibles sans chiffrement.

Le cas Mirai en 2016, où des caméras connectées ont été enrôlées dans un botnet mondial, reste une leçon qui n’a pas suffi.

Et pourtant, en 2025, le même type d’erreur refait surface, notamment sur les protocoles Wi-Fi et BLE.

“Plus un système communique, plus il doit savoir ce qu’il dit et à qui il le dit.” — Dorian Peluso, Directeur Général de DVID

L’objectif n’est pas de tout fermer, mais de tout comprendre. C’est ce qu’on apprend dans nos trainings réseau : tracer, analyser, rationaliser.

5. L’absence de traces exploitables (le cauchemar du forensic IoT)

Quand un incident survient sur un produit IoT, il est souvent impossible d’en comprendre la cause.

Pas de journaux, pas de timestamps, pas de logs persistants.

Microsoft rappelait récemment qu’en 2024, 78 % des incidents IoT n’avaient “aucune donnée post-mortem disponible”.

Or, sans visibilité, impossible d’améliorer la sécurité.

C’est pour ça que le forensic embarqué devient un pilier des formations DVID : apprendre à produire, collecter et protéger les artefacts qui permettent de reconstituer un scénario d’attaque.

Un vrai changement de culture dans l’industrie.

6. La dépendance à la supply chain

Les industriels achètent, intègrent, combinent.

Mais quand la sécurité d’un module tiers devient votre responsabilité, le risque explose.

Le cas de SolarWinds a montré que la supply chain est souvent la voie la plus rapide vers l’infrastructure d’une entreprise. Et dans l’IoT, c’est encore plus vrai : un module Bluetooth compromis, et c’est tout un parc d’équipements qui devient vulnérable.

“Les objets connectés sont aussi sécurisés que leur fournisseur le plus faible.” — ENISA, rapport “Threat Landscape 2024”

Chez DVID, on part souvent de ce constat : comment tester un produit qu’on n’a pas conçu ?

Les trainings “marque blanche” apprennent à évaluer un module externe, documenter les failles et transformer ce retour en plan de durcissement.

7. Une documentation sécurité qui ne suit pas la vie du produit

Le produit évolue, la doc non.

Les firmware changent, les architectures cloud bougent, mais les plans de tests sécurité restent figés.

C’est un problème bien connu chez les acteurs de l’industrie 4.0, même dans des groupes structurés comme Siemens ou Thales : la vitesse de développement dépasse la capacité de mise à jour documentaire.

“La sécurité, c’est comme la qualité : si on ne la maintient pas, elle régresse.” — Arnaud Courty, DVID

L’approche DVID consiste à transformer chaque vulnérabilité rencontrée en training rejouable : un scénario vivant, que les équipes peuvent expérimenter, mesurer et réviser.

C’est une façon de garder la sécurité “à jour”, au même rythme que le produit.

Ces sept vulnérabilités ne sont pas nouvelles.

Elles existent parce que la sécurité IoT est encore trop souvent enseignée comme une théorie, alors qu’elle devrait être vécue comme une pratique métier.

L’IoT, c’est du concret : des vis, des ports, des firmwares, des protocoles.

Et c’est en les manipulant qu’on apprend à les sécuriser.

Avec DVID, “vos équipes ne subissent plus la sécurité IoT : elles la comprennent, la pratiquent et l’améliorent concrètement.”

En savoir plus : https://dvid.eu/fr
Nous contacter : https://dvid.eu/fr#contact
Suivre notre actualité : https://www.linkedin.com/company/dvid/

Top 7 vulnérabilités IoT

1. Les identifiants et clés secrets codés en dur

2. Les mises à jour OTA mal protégées

3. Les interfaces de debug oubliées

4. Des services réseau trop bavards

5. L’absence de traces exploitables (le cauchemar du forensic IoT)

6. La dépendance à la supply chain

7. Une documentation sécurité qui ne suit pas la vie du produit

Cheatsheet Pentest IoT : votre guide pratique pour tester la sécurité des objets connectés

Secrets dans le firmware : trois failles, une même cause

UART exposé, MQTT vulnérable : les portes d’entrée qu’on oublie de fermer

Bluetooth Low Energy : quand le pairing legacy et les caractéristiques bavardes trahissent vos devices

Comprendre la sécurité firmware… en la pratiquant vraiment

1. Les identifiants et clés secrets codés en dur

2. Les mises à jour OTA mal protégées

3. Les interfaces de debug oubliées

4. Des services réseau trop bavards

5. L’absence de traces exploitables (le cauchemar du forensic IoT)

6. La dépendance à la supply chain

7. Une documentation sécurité qui ne suit pas la vie du produit

Publications similaires