Tous les secteurs d’activités sont impactés par ces changements : médical, finance mais aussi services et industries. Chaque secteur est spécifique et s’impose des règles de disponibilité, intégrité, confidentialité et de traçabilité bien définies suivant la criticité de son activité. Les objets connectés vont ainsi ébranler les règles : propager à l’extérieur des informations qui étaient jusqu’alors locales, rendre communiquants des objets dont la fonction native était d’être autonome, ou rendre intelligents des systèmes qui étaient jusqu’alors séquentiels et déterministes.
Malheureusement, la sécurité est souvent mise en retrait au profit des fonctionnalités offertes par l’objet. Cela s’explique principalement par le fait qu’il est vital pour une entreprise de mettre sur le marché son innovation. Dans cette course, couvrir un risque en faisant l’acquisition d’une puce dédiée et de compétences spécifiques peut être considéré comme un frein et non comme un gain (exemple : mettre en avant la prise en compte des aspects sécurité et le respect de l’objet concernant les règlements en vigueur pourrait être un avantage concurrentiel).
Outre le risque d’espionnage industriel et de rétro-ingénierie du produit pour réaliser une copie, les objets peuvent aussi être des vecteurs d’attaques insoupçonnées. Les deux exemples suivants tirés de l’actualité sont marquants par leur ampleur et leur facilité d’exploitation.
En premier exemple, citons le record historique de déni de service (aka indisponibilité de service) que le virus Mirai a réussi à opérer sur les infrastructures d’OVH et de DynDNS. Pour rappel, cette attaque informatique a paralysé pendant plusieurs heures une partie du Web mondial en prenant le contrôle d’objets connectés (des caméras IP en l’occurrence) à l’insu de leurs propriétaires et en les utilisant pour lancer des attaques. En effet, les caméras IP facilitent la connexion au travers d’une installation simplifiée (clic, flash, enjoy); il suffit de trois étapes pour accéder à sa caméra depuis son smartphone alors que les deux sont sur deux réseaux différents. A base de mot de passe par défaut et d’exposition directe sur Internet, il est donc possible d’en prendre le contrôle total en vue de zombifier l’équipement ciblé.
La deuxième attaque concerne un casino américain ayant subi un piratage interne. Le vecteur d’attaque a été un thermomètre d’aquarium connecté au réseau interne du casino pour monitorer la température des bassins. La compromission de l’objet est facilitée par l’exposition de l’objet à des fonctionnalités de mise à jour à distance au travers du protocole Bluetooth (Device Firmware Update) et une simplicité, pour un attaquant, de se procurer l’équipement sur Internet. Avec ces faiblesses, les attaquants peuvent forger un microcode pirate, le charger sur l’objet pour rebondir sur l’infrastructure et la contrôler.
Alors, faut-il avoir peur des objets connectés ? La série Black Mirror a-t-elle raison ?
La réponse est non, il faut juste être conscient des risques. Si un objet connecté mémorise l’ensemble de votre vie privée, il convient, si vous avez le choix entre deux constructeurs pour des produits équivalents, de privilégier celui qui fait attention à vos données (règlement applicable ou démarche sécurité) et de lire les Conditions Générales d’Utilisation. Il n’est pas possible de tester la sécurité de chaque objet que l’on achète, mais il suffit de respecter les deux règles suivantes :
- Si vous avez l’impression que tout est magique (connexion en 3 étapes, accès depuis des réseaux différents, mot de passe par défaut simple), c’est souvent que la sécurité globale est souvent mal implémentée
- Si le service est totalement gratuit et qu’il vous rend un précieux service au quotidien, dites-vous que vous enrichissez indirectement une base de données client avec vos données personnelles.