Souriez, vous êtes hacké

Quand les objets connectés menacent le web.

L’Internet des objets est l’une des révolutions technologiques de l’histoire du web. C’est grâce à ces objets connectés que notre quotidien est en perpétuelle évolution, avec des innovations allant de l’agenda synchronisé aux radiateurs intelligents. D’ici 2020, ce sont 20,8 milliards d’objets connectés qui pourraient communiquer selon une étude de Gartner. De son côté, Orange se positionne comme un pionnier en la matière, et a par exemple choisi d’investir dès 2015 dans le réseau LoRa, avec pour objectif d’interconnecter plus efficacement les objets connectés. Naturellement, l’échange d’informations entre ces 6 milliards d’objets, que l’on appelle Internet of Things (IoT), pose question en matière de sécurité. Faut-il craindre pour la protection des données dans cette course à l’innovation ?

Une panne géante en guise d’avertissement

Si la sécurité du web a toujours été un sujet d’actualité, une violente attaque survenue le 24 octobre dernier a redistribué toutes les cartes et remis en question la sécurisation de tous les gadgets. C’est, comme souvent, une attaque par « déni de service » (DDoS) qui a eu raison des serveurs de plusieurs géants du web ce jour-là. Ce procédé très classique et bien connu des experts en sécurité informatique est malheureusement difficile à anticiper et à parer : dans un laps de temps très court, les cybercriminels effectuent des milliers de connexions dans le but d’inonder et faire tomber un site. Twitter, Netflix, Spotify, Amazon : le 24 octobre, tous étaient partiellement ou complètement inaccessibles.

Pourtant, les responsables de cette crise n’ont pas réussi à s’introduire dans les serveurs de tous ces services. La cible de cette attaque n’était autre que DNS Dyn, une entreprise d’aiguillage qui, dans les grandes lignes, permet aux serveurs des sites Internet d’être accessibles depuis une seule et même adresse.

La série d’anticipation Black Mirror s’inspire des technologies et des menaces actuelles pour imaginer notre futur.
La série d’anticipation Black Mirror s’inspire des technologies et des menaces actuelles pour imaginer notre futur.

Des caméras pas si sécurisées

Pour parvenir à leur fin, les hackers ont utilisé une méthode jusqu’alors inédite à si grande échelle en réquisitionnant des milliers d’objets connectés utilisés par des particuliers et des entreprises. Précisément, c’est une faille de sécurité béante repérée sur les caméras de surveillance connectées de la marque chinoise XiongMai Technology qui a permis aux hackers de mettre à terre tous ces services. Avec un simple petit programme (« Mirai », un virus disponible gratuitement et très facilement sur Internet), les objets connectés se sont littéralement transformés en robots saturant le réseau de DNS Dyn.

Selon les chercheurs de Flashpoint, ce sont dans le monde un demi-million d’appareils connectés à Internet qui comportent de telles failles informatiques et représentent autant de menaces potentielles. L’erreur la plus commune : la mise en place d’un mot de passe par défaut que les utilisateurs ne pensent pas à changer lors du démarrage de l’appareil.

L’approche « secure by design »

Bien sûr, cette attaque n’est ni la première ni la dernière du genre. Il y a fort à parier que d’autres criminels du web tentent de mettre hors service plusieurs serveurs, ou dérober quelques milliers de données, parfois pour des raisons qui nous échappent. Pourtant, depuis ce que l’on appelle maintenant « le black-out du 24 octobre », plusieurs spécialistes revendiquent l’importance d’une approche « security by design ». Cette méthodologie, qui place la sécurité au centre de la conception, est déjà utilisée par toutes les entreprises travaillant dans des secteurs sensibles comme le monde bancaire, mais n’est à ce jour pas la priorité des start-up, qui privilégient d’abord l’usage et la performance pour mettre au point leurs objets connectés, quitte à oublier de sécuriser leurs appareils.

Et si ce four connecté était une menace ?

Et si ce four connecté était une menace ?

Selon Tanguy de Coatpont, directeur général de la société Kaspersky Lab France, « développer un produit communicant sécurisé coûte de 10 à 15 % plus cher qu’un même produit non sécurisé ». Bien que coûteuse, cette étape devra désormais faire partie intégrante du processus de création de tout nouvel appareil intelligent, connecté à Internet et distribué à grande échelle. De leur côté, les utilisateurs devront acquérir de nouveaux réflexes et s’assurer que leur nouveau four connecté est correctement configuré pour qu’il n’affecte pas la sécurité de leur service de VOD préféré. Car rien n’est plus triste qu’une pizza dégustée devant un écran noir.

Des objets et des normes

C’est précisément l’absence de contraintes en matière de sécurité de l’Internet des objets qui a encouragé de nombreuses entreprises à investir dans ce secteur florissant. Pour assurer la pérennité des objets et la sécurité de leurs utilisateurs, plusieurs experts réclament l’instauration de normes qui pourraient être imposées par les organisations déjà en place, comme le Comité européen de normalisation. « Nous nous efforçons d’établir un socle solide de normes pour assurer la protection de nos données dans un univers numérique connecté et pour renforcer la confiance des consommateurs. Nous espérons qu’elles pourront servir à développer des solutions répondant aux défis propres à l’Internet des objets », explique le professeur Edward Humphreys, qui travaille sur ces questions au sein de l’ISO.

Stéphane Richard, PDG d’Orange, explique le réseau LoRa.

Plusieurs groupes de recherche du monde entier, parmi lesquels l’ARCEP et le ministère de la Défense, se sont déjà penchés sur les vulnérabilités les plus connues, ce qui leur a permis d’esquisser de bonnes pratiques et des recommandations à adopter à tous les niveaux du fonctionnement d’un objet connecté (ses concepteurs et fabricants, les opérateurs et les services de stockage de données). Dans une démarche plus officielle et rigoureuse, la Commission européenne a élaboré en avril dernier un règlement général à appliquer dès le 25 mai 2018 dans tous les États membres de l’Union européenne. Les notions de « sécurité par défaut » évoquée plus tôt et d’évaluation des risques concernant la protection des données personnelles sont au cœur de ces nouvelles dispositions.

Naturellement, des sanctions sont prévues pour qui manquerait à cette nouvelle réglementation. Afin de garantir la sécurité de ces objets, il est également maintenant demandé à tous les fabricants de fournir les moyens de diffuser et déployer les mises à jour de sécurité à tous les utilisateurs, tout au long de la vie d’un produit. Pour sûr, ces directives ne seront pas les dernières : il faut maintenant penser toutes ces innovations en intégrant systématiquement la sécurité des réseaux et des données dans l’équation.

mots clés de l'article : high tech et accessoires

à voir également en vidéo