1. Accueil
  2. Tech à suivre
  3. IOT
  4. Cyberattaques et IoT : qui faut-il responsabiliser ?

Cyberattaques et IoT : qui faut-il responsabiliser ?

smartphone
Introduction
Quand personne n’est en mesure de sécuriser ses objets connectés, à qui faut-il jeter la pierre en cas de pépin ? Plus qu’un énième risque de cyberattaque, c’est bien le fait de légiférer et ses conséquences qui devraient concerner.

Un nouveau rapport de la société de cybersécurité CheckPoint vient de tomber : « un million d’objets connectés ont déjà été scannés partout dans le monde, y compris aux États-Unis et en Australie. Et ce nombre ne fait qu’augmenter. ».

Dans le viseur du document, l’ombre d’une vieille menace sommeillant à l’intérieur de nos IoT préférés (TV connectées, box, caméras, routeurs WiFi…) : celle de la cyberattaque d’octobre 2016 contre Dyn qui avait rendu inaccessibles Twitter, Ebay, Netflix ou encore PayPal pendant plusieurs heures. Impliquant une attaque par déni de service (DDoS), cette dernière s’était servie d’objets connectés infectés par le logiciel malveillant « Mirai » pour paralyser différents serveurs.

Dans sa continuité, une nouvelle menace insidieuse baptisée « Reaper » (« La Faucheuse »), qui consiste également à infiltrer nos objets connectés (et notamment ceux dont les mots de passe génériques fournis lors de l’achat n’ont pas été changés par leurs utilisateurs) pour mieux accéder à des serveurs d’entreprises ou de services publics – et les détruire de l’intérieur.

Selon CheckPoint, un certain nombre d’objets seraient déjà infectés et pourraient se réveiller simultanément pour s’attaquer à d’autres infrastructures telles que GoAhead, Netgear, D-Link, Jaws, Synology ou Linksys.

Mais face à l’impuissance du commun des mortels…

Mais si le rapport affole, il n’a rien de surprenant, selon Fabrice Epelboin, fondateur de la plateforme de bug bounty Yogosha. « Tout ça se place dans la continuité de Mirai, et s’il n’y a rien de nouveau en termes de menace, le constat reste le même : on peut aujourd’hui accéder à tout un tas d’IoT non sécurisés. Même ceux dont les mots de passe ont été mis à jour comportent des problèmes de faille. Le fait est que le commun des mortels n’est pas en mesure de sécuriser ces objets, et c’est là l’un des enjeux majeurs de la cybersécurité. », nous explique-t-il. Rien ne sert d’élaborer des codes alambiqués à 12 caractères pour sécuriser nos comptes donc, puisque ça n’est pas là que se situe le problème.

…le besoin de poser des cadres et de nommer des responsables s’impose

« Internet a eu tendance à se centraliser autour de services comme Amazon, Google Drive et bien d’autres. C’est une tendance qui découle naturellement du capitalisme et c’est justement ce qui crée ces points de faille. », explique plus loin Fabrice Epelboin. « Tous les sites web se retrouvent, de ce fait, plus facilement accessibles, qu’il s’agisse d’une entreprise informatique ou d’une banque en ligne. », poursuit-il. Une faiblesse structurelle qui laisse le champ libre aux hackers malveillants en termes de scénarios d’attaque et qui ne peut nous laisser qu’impuissants.

 « La loi Hadopi stipule que nous sommes responsables de la sécurisation de notre accès internet, et c’est d’ailleurs en ça qu’elle est risible puisque personne n’a les compétences pour le faire. », poursuit Fabrice Epelboin. Face à cette problématique, deux alternatives conjointes semblent se profiler, la première étant de responsabiliser les constructeurs d’objets connectés pour limiter au maximum les failles de sécurité. La deuxième, plus lourde de conséquences, serait d’opter en parallèle pour une sécurisation totale du réseau en réquisitionnant par exemple la cyber-expertise d’entreprises privées et en centralisant les informations récoltées avec les services de renseignement. Une perspective qui l’effraie et qui pourrait bien faire basculer l’ordre établi, en matière de vie privée (nos données se retrouveraient encore plus à nue qu’elles ne le sont déjà) comme de démocratie : « C’est quelque chose qui se fait déjà et je ne sais pas si notre système politique serait en mesure d’y résister si  une personnalité extrême arrivait un jour au pouvoir. », observe-t-il enfin. « C’est encore une fois cette centralisation qui pourrait faire basculer la démocratie. »

 

France charruyer le 14 novembre 2017 / Répondre

Le nouveau règlement Européen GDPR (GPRD) (et certes Hadopi mais dans une moindre mesure )fournit déjà le cadre, il responsabilise tous les acteurs: du responsable de traitement, au sous-traitant, aux utilisateurs) . Du dirigeant sommé de prendre les mesures appropriées, et désormais d’ici le 25 mai 2018 d’en justifier avec le principe “d’accountability” colonne vertébrale du nouveau règlement Européen. Le Hic, Toutes les entreprises ( PME) ne seront pas prêtes en 2018, elles devront déjà a minima entamer le process de mise en conformité ( la sécurité informatique, la sensibilisation du personnel, et reprendre la main sur les données). Qui fait quoi ? Qui a accès à quoi? Comment et pourquoi ?

Ajouter votre commentaire