security

Des dangers de l'IoT

Bientôt 28 milliards d’objets connectés, et autant de failles potentielles de sécurité. Explications de Claire de Longeaux - directrice du salon TRUSTECH (incorporating Cartes).

Alors qu’on nous promet des dizaines de milliards d’objets connectés dans les années à venir, la sécurité de ces appareils laisse clairement à désirer. Plusieurs exemples montrent d’ailleurs les dangers potentiels – et ils sont nombreux - de « l’IoT » .

Vous êtes bien au chaud chez vous car avant de rentrer, vous avez allumé vos radiateurs à distance. D’ailleurs, vous venez de réaliser une belle performance : presque 15 000 foulées, une trentaine de minutes d’exercice et 400 calories brûlées. C’est l’application de votre smartphone qui vous le dit ; smartphone avec lequel vous avez pu piloter vos équipements à la maison et déverrouiller la serrure. Vous savez aussi qu’il n’y a personne chez vous puisque la caméra d’intérieur (qui vous indique aussi que la qualité de l’air est bonne) ne vous a envoyé aucun message. Les enfants sont dehors, et un message reçu sur votre montre connectée vous apprend que votre mari est parti faire quelques emplettes…

Aujourd’hui, ce scénario n’a strictement rien d’exceptionnel. Il illustre pourtant bien de quelle manière les objets connectés ont fait leur entrée dans notre quotidien, sournoisement pourrait-on dire. Car de la même manière que nous faisons confiance à un constructeur de machine à laver pour la robustesse de ses produits, c’est de manière crédule que nous pensons que les objets connectés qui nous entourent sont quant à eux sécurisés d’un point de vue logiciel. Malheureusement, ce n’est que rarement le cas. Et c’est bien dommage quand on sait qu’un foyer français devrait compter en moyenne une trentaine d’objets connectés en 2020. A plus grande échelle, le cabinet d’études IDC évoque 28 milliards de ces appareils connectés dans le monde d’ici quatre ans. La qualification actuelle et commune des objets connectés est toutefois une vision biaisée : les accessoires grand public en tous genres ne représentent que la partie immergée de l’iceberg. En effet, le monde de « l’IoT » (pour « Internet of Things » ) est bien plus vaste car les équipements professionnels représentent une grande partie d’entre eux. Le potentiel que peuvent tirer les entreprises des objets connectés est tel qu’il est difficile d’estimer l’ampleur que prendra le phénomène dans les prochaines années. Concrètement, imaginez que dans quelques années, une voiture embarquera une centaine de capteurs en son bord, qui sont autant d’objets connectés. L’heure est certainement venue de se préoccuper de la situation, c’est le moins qu’on puisse dire !

28 milliards de ces appareils connectés dans le monde d’ici quatre ans

Les dangers multiples de l’IoT

Même s’il faut raison garder, le potentiel dévastateur des objets connectés est bien plus élevé que ce que l’on pourrait croire. A son niveau le plus basique, la sécurité est importante du point de vue des données personnelles des utilisateurs. Bien souvent, chacun de nous entre des coordonnées associées à chaque objet que nous possédons ; les chances de se les faire dérober sont donc multipliées par autant d’appareils en notre possession. A l’instar des données que nous dispersons sur le Web et les applications, elles peuvent être sensibles car au mieux elles peuvent être utilisées pour de l’hameçonnage (phishing) sur Internet, au pire pour une usurpation d’identité. A un autre niveau, les objets dits « domotiques » , pour le pilotage de la maison, sont autrement plus sensibles car peuvent conduire à un cambriolage ; une serrure connectée défaillante, une porte de garage pilotable à distance piratée, etc. Reprenons l’exemple de la voiture et sa centaine de capteurs : à l’heure où les véhicules connectés et de plus en plus autonomes se dessinent, des incidents liés à la sécurité routière sont là encore à craindre. Dans le monde professionnel, l’IoT se répand comme une traînée de poudre. Le secteur fait office de pionnier, avec de plus en plus de robots dans les usines de construction automobile par exemple : là encore le danger est palpable. Enfin, l’inquiétude ultime concerne la compromission de plusieurs centaines de milliers (voire à terme, de millions ! ) d’objets connectés. Un tel volume d’appareils piratés pourrait mettre à mal le système Internet tout entier ; et ce n’est pas du tout un scénario de science-fiction.

La fonctionnalité intrinsèque à tous ces appareils est bien entendu la communication. C’est particulièrement là où le bât blesse. Cela s’explique finalement assez bien : actuellement, la majorité des objets ne sont pas conçus nativement avec un niveau de sécurité suffisamment élevé. Cependant le concept « security by design » est de plus en plus pris en compte. Il représente une philosophie voire certaines bonnes pratiques plutôt qu’une discipline à part entière. Concrètement, il s’agit de considérer les besoins de sécurité en amont d’un projet puis tout au long de son cycle. Le principe est simple, mais encore difficile à appliquer : d’une part car les objets connectés évoluent dans des écosystèmes matériels complexes, d’autre part car les équipes d’ingénieurs et de développeurs font face à une pénurie de personnes détenant les compétences nécessaires. Sans compter qu’il coûte cher à mettre en œuvre ! Mais le prix à payer pour la sécurité de ces appareils semble pourtant bien dérisoire face aux enjeux en termes de liberté et de confiance des citoyens !

Quelques cas concrets :

Les voitures connectées

En juillet 2015, deux chercheurs ont réussi à prendre le contrôle d’une voiture connectée, une Jeep, en marche ! Avec la mainmise totale sur l’ordinateur de bord, ils ont pu mettre en marche la climatisation, changer les stations radio, actionner les essuie-glaces et même diffuser une vidéo sur l’écran tactile. Mais surtout : ils ont pu prendre le contrôle de l’accélérateur et des freins, voire de la direction (en marche arrière uniquement).

En juillet 2015, deux chercheurs ont réussi à prendre le contrôle d’une voiture connectée, une Jeep, en marche

Les montres connectées

Dans une étude publiée en juillet 2015, HP Fortify a montré que sur 10 modèles de smartwatches testés, 100% d’entre elles contenaient effectivement des vulnérabilités. Elles sont situées principalement dans l’appairage avec un smartphone (en Bluetooth), mais aussi sur les interfaces cloud et mobile et enfin dans les logiciels en eux-mêmes.

Les serrures connectées

La technologie de sécurisation des données correspond « aux standards militaires et bancaires (AES 256 / 3D Secure) » . C’est ce que montre le packaging d’une marque connue de serrures connectées. Mais lors d’une démonstration technique, nous avons vu un expert démontrer le contraire : dans le code de l’application, les failles se comptent par dizaines. Annoncée en 256 bits, la clé de chiffrement ne dépasse pas les 14 bits. Autant dire que la porte de chez vous est à demi ouverte…

Les ampoules connectées

Les ampoules connectées Hue de la marque Philips sont elles aussi vulnérables, comme l’ont montré des chercheurs en novembre 2016. Le danger n’est pas immédiat, mais cela peut servir à un pirate pour passer sur un autre réseau, comme le WiFi domestique par exemple. A partir de là les dégâts peuvent être conséquents.

Mirai : un terrifiant « botnet »

C’est le cas le plus complexe : récemment un malware du nom de Mirai est apparu. Son principe : infecter des milliers d’objets connectés de toutes sortes pour lancer des attaques dites distribuées. En octobre 2016, des pirates l’ont utilisé pour cibler l’hébergeur français OVH en utilisant principalement des caméras connectées. Concrètement, il a permis de lancer une attaque « de déni de service distribuée » aussi appelée « DDoS » . Le but était de faire tomber les infrastructures d’OVH et donc les sites Web et applications de ses clients notamment. D’autre part, Mirai a été utilisé pour attaquer Dyn, une entreprise chargée des serveurs qui gèrent les noms de domaines sur Internet. La conséquence : plusieurs grands sites Web (Twitter, Spotify, eBay, SoundCloud, PayPal, Airbnb, etc.) sont restés inaccessibles plusieurs heures. Des experts estiment que ce type d’attaque pourrait, un jour, faire tomber le réseau Internet tout entier.

premium2
commentaires

Participer à la conversation

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.