IoT : tensions entre confort et sécurité

Un des termes à la mode est « IoT » (Internet Of Things, l’Internet des Objets). Il désigne tout ce qui est désormais connecté à internet (et par extension qui ne l’était pas avant) : les ampoules LED, les réfrigérateurs, les sondes météorologiques, les caméras de surveillance, les serrures électroniques, les portes automatiques, etc.

Vous pouvez ainsi mettre en route le chauffage de votre résidence secondaire avant d’arriver sur place, éteindre toutes les lumières de votre appartement et fermer tous les stores d’un simple clic sur votre smartphone, ne plus avoir besoin de clés traditionnelles pour entrer chez vous et vous contenter de votre empreinte digitale ou d’un badge RFID, surveiller la température d’une pièce à distance et compter sur une liste de courses préparée par votre réfrigérateur qui sait ce qu’il vous manque. Les applications sont infinies.

Malheureusement, les risques qui accompagnent tous ces objets sont importants et il faut être particulièrement vigilant.

Accès non souhaité à vos objets

Le premier danger concerne l’accès public à ces objets connectés et ce que l’on peut faire avec. Qui peut ouvrir votre porte d’entrée à distance sans avoir besoin de votre empreinte ? Qui peut accéder à vos caméras de surveillance et voir l’intérieur de votre domicile (un rapide coup d’oeil sur le site www.insecam.org est édifiant) ? Qui peut savoir à distance si votre alarme est bien activée ou peut la désactiver avant une visite malveillante ? Qui peut agir sur les composants connectés de votre nouvelle voiture (bloquer les freins, éteindre le moteur) ? Qui peut accéder à la caméra intégrée à votre téléviseur et ainsi vous observer ?

Cela dépendra en partie de vos propres gestes : est-ce que les mots de passe par défaut ont été remplacés ? est-ce que le logiciel est à jour ? est-ce que votre pare-feu a pu être ajusté en conséquence ?

Et d’autre part, vous dépendez des logiciels utilisés par le fabricant, de son site web qui héberge vos données et de l’application dont vous vous servez sur votre smartphone. Imaginez que le site du fabricant de votre serrure de porte d’entrée connectée soit piraté et que toutes les serrures qui figurent dans sa base de données puissent être ouvertes simultanément et à distance. L’expérience montre que le niveau d’expertise de ces fabricants est rarement au top niveau malheureusement.

Piratage et utilisation malveillante

Le second danger concerne le piratage de ces objets qui peuvent être utilisés à des fins malveillantes. Les défauts de conception ou de configuration (mot de passe par défaut laissé intact, faille logicielle connue et non corrigée ou non corrigeable, etc) permettent aux hackers d’installer leurs propres logiciels sur vos objets connectés et d’en prendre alors le contrôle. Votre réfrigérateur gardera toujours vos produits au frais et vous préparera votre liste de courses habituelle. Tout comme votre caméra de surveillance fera toujours son travail. Mais ils seront également au service des pirates!

 Lorsqu’ils auront besoin d’attaquer une entreprise (ou un gouvernement!), ils pourront ordonner à tous les réfrigérateurs, serrures, portes automatiques, télévisions qu’ils auront sous contrôle d’agir ensemble et de noyer leur cible sous un flot de requêtes qui la submergera.

C’est le principe d’une attaque DDoS (Distributed Denial Of Service). Quand un téléviseur piraté va consulter un site web sur ordre d’un pirate, cela n’a à priori aucune influence. Mais quand il s’agit de 200’000 téléviseurs qui agissent simultanément, le site n’aura aucune chance. Et les objets connectés de votre domicile pourront y participer sans même que vous ne vous en rendiez compte.

La responsabilité des fabricants est en première ligne et ils doivent concentrer leurs efforts sur la sécurité du consommateur. Des discussions internationales (par exemple http://www.iotbd.org) pour améliorer la sécurité des IoT ont maintenant régulièrement lieu et il faut espérer qu’elles pourront être efficaces.

Le niveau de vigilance et de conscience de l’utilisateur est tout aussi important : on doit rester maître de ses objets, de son réseau, savoir qui peut y faire quoi et quels sont les risques induits par chaque objet.

Ne pas faire confiance aveuglément, se documenter et trouver de l’aide et du conseil compétents.

2 réactions sur “ IoT : tensions entre confort et sécurité ”

  1. Fabian Auteur Article

    Merci pour votre commentaire. C’est effectivement tout à fait essentiel et cela nous concernera tous à très court terme.

    Fabian

  2. Pierre

    Super intéressant et important ! C’est un domaine en pleine croissance et nous n’avons pas encore suffisamment de recul pour savoir comment ces technologies peuvent être détournées… et à partir du moment que tout cela est connecté à Internet en permanence, le risque 0 n’existe pas…

Les commentaires sont clos.