Sites Inria

Le 25.10.2016
Par :
Damien Waltisperger - Citizen press

Internet des Objets : l’eldorado des pirates ?

Avec vingt milliards d’objets connectés attendus pour 2020, Internet s’invite désormais dans notre quotidien. Et cela n’est pas sans risque, notamment pour le respect de notre vie privée. On estime en effet que chaque objet connecté comporte en moyenne vingt-cinq failles conceptuelles. Petit panorama.
© Mimi Potter - Fotolia

« Objets inanimés, avez-vous donc une âme ? » Les exemples de piratages d’objets connectés sont dignes des films d’horreur : voitures, fauteuils roulants, télévisions qui vous écoutent comme dans le roman 1984, fusils connectés qui changent de cibles d’eux-mêmes, caméras pour bébés permettant à des inconnus de leur fredonner des berceuses… Sans compter les serrures connectées complaisantes, les arrosages automatiques facétieux et les thermostats intelligents retors. Ce dernier objet ayant le privilège douteux d’être exposé au premier « ransomware » (ou rançongiciel) conçu spécifiquement pour l’Internet des Objets. Il s’agit d’un virus susceptible de racketter l’utilisateur pour fonctionner normalement. Chaque DEF CON - le grand rassemblement annuel à Las Vegas des hackers consacré à la sécurité informatique - trouve une palanquée fraîche de failles (quarante-sept cette année). Et la marge reste confortable pour des trouvailles futures, puisqu’on estime qu’il y aurait une moyenne de vingt-cinq failles par objet connecté. De quoi aussi occuper les législateurs, avec des questions juridiques inédites telles que : l’activation non sollicitée et à distance d’un « jouet » sexuel intelligent est-elle un viol ?

Mais comment en est-on arrivé là ? Le plus simplement du monde (digital) : par un mélange de négligences des constructeurs, de faiblesses structurelles tirées comme un boulet depuis des années et de manque de préparation des utilisateurs.

 

Quatre failles conceptuelles…

En ce qui concerne les objets connectés médicaux par exemple, le risque est tel qu’il est parfois nécessaire de passer en mode « hors ligne » selon Anne Canteaut,  cryptologue et directrice de recherche de l’équipe-projet SECRET chez Inria.

« Imaginez […] qu’un individu malveillant puisse commander […] un stimulateur cardiaque sans en avoir l’autorisation ! »

« C’est un scénario qui a d’ailleurs été envisagé très sérieusement. Par exemple l’ancien vice-président des États-Unis, Dick Cheney était porteur d’un défibrillateur cardiaque implanté qu’il désactivait quand il assistait à un événement public de crainte qu’un terroriste n’en prenne le contrôle ». On peut aussi s'interroger sur les risques d'une prise en charge d'une opération par un robot chirurgien.

Dans un rapport publié en 2015, HP cite quatre grandes familles de vulnérabilités spécifiques à l’Internet des Objets. Autant de brèches dans lesquelles des individus malveillants plus ou moins doués peuvent s’engouffrer. En effet, pour l’expert et vétéran d’IBM Joshua Corman ces failles sont parfois exploitables facilement : « il existe un moteur de recherche - shodan - qui recense les objets connectés à Internet […] pas besoin d’être un hacker […] mais juste de chercher les identifiants et mots de passe par défaut [dans les manuels, NDA]».

D’autant plus que ces mini-ordinateurs sont parfois piratables en réseaux (une technique appelée BOTNET) pour mener des attaques informatiques majeures par la technique du déni de service. Le géant français de l’hébergement OVH en a fait les frais en septembre lors d’une opération massive, de l’ordre du térabit/seconde ! Ironie du sort, c’est un réseau de 150 000 caméras de sécurité qui a été détourné pour harceler ses serveurs !

 

Et des sérieux risques pour la vie privée

« Un deuxième sujet d’inquiétude est la protection de la confidentialité des données collectées par tous ces objets : cette énorme masse de données regorge d’informations sensibles sur notre comportement, notre vie privée, ou sur la vie d’une entreprise. » Mieux sécuriser ces informations, c’est la mission de l’équipe-projet SECRET dirigée par Anne Canteaut. « La cryptologie moderne offre des solutions bien connues, mais […] pas toujours adaptées aux objets connectés. La spécificité de ces applications est qu’on ne dispose généralement que de très peu d’énergie. Les cryptographes s’intéressent donc depuis quelques années à la conception d’algorithmes cryptographiques […] dans ce contexte. On parle de cryptographie à bas coût ou de cryptographie légère. Ces solutions sont relativement récentes et ne sont pas toutes matures pour un développement industriel [et pas] toujours connues des constructeurs. Plusieurs organismes viennent de lancer un processus de standardisation d’algorithmes cryptographiques à bas coût. C’est le cas du NIST  [« Institut national des normes et de la technologie » NDA] aux USA qui souhaite pouvoir élaborer des recommandations en la matière. »

 

Une difficile standardisation

La multitude des équipements, des usages et des profils d’utilisateurs complique les efforts de standardisation des objets connectés. Malgré une prise de conscience des enjeux dans la classe politique (Europol a notamment publié un rapport), peu de législateurs souhaitent brider l’émergence d’une économie qui pèsera 883 milliards de dollars en 2022. Sans locomotive pour orienter une véritable réflexion sur les risques, la balle est encore une fois dans le camp des consommateurs.

Le monde du renseignement américain classe désormais le détournement d’objets connectés comme « une menace globale » sans s’attarder sur les opportunités pour la collecte d’informations massive. Pour l’ex numéro 2 de la très secrète National Security Agency Chris Inglis, les usagers devraient « tout bonnement dire non » aux équipements domestiques en ligne.  Lors d’une conférence sur la sécurité des objets connectés, Joshua Corman pronostique :

 « La cavalerie n’arrivera pas, personne ne viendra nous sauver ! »

Le spécialiste espère donc créer une communauté de citoyens-usagers vigilants qui pratiquent le lobbying pour un Internet des Objets qui intègre la sécurité « by design », c’est à dire qui soit sécurisé en amont. Une course contre la montre, alors qu’on estime le nombre d’objets connectés à vingt-quatre milliards en 2020.

En attendant le règne hypothétique des voitures-chauffardes et des thermostats-gangsters pas de panique ! Quelques conseils simples (voir notre encadré) vous permettront de limiter les risques.

 

 

Six conseils pour mieux sécuriser ses objets connectés

1 Se renseigner sur les produits avant l’achat

 

 

 

 


En amont de l’achat d’un objet connecté, il faut s‘informer : ce produit correspond-il à un besoin réel ? Ce produit est-il déjà piraté et donc piratable ? Quels sont les protocoles utilisés, sont-ils sécuritaires ? Les technologies sont-elles open-source ? Quels sont les termes du contrat de licence et les informations prélevées ? L’objet est-il vulnérable à une modification physique (manipulation de capteurs et sabotage) ? Bien consulter les manuels en ligne, les tests et comparatifs des sites et de la presse spécialisée permet d’éviter les mauvaises surprises. Une fois propriétaire, consulter attentivement le manuel en ligne à jour.

2 Soigner son routeur

 

 

 

 

Les objets connectés peuvent servir de porte d’entrée vers votre réseau domestique et donc votre routeur/modem/box. Il est au centre de votre réseau chez vous et doit être sécurisé par des protocoles performants, des mots de passe, des ports sécuritaires et surveillés. Idem pour les objets. Un changement régulier (ou au moindre doute) des mots de passe s’impose. Attention à ne pas stocker ceux-ci sur un post-it accolé à l’écran ! Nombre d’experts recommandent de créer un deuxième réseau WiFi propre aux objets connectés. Bien vérifier si son serveur ou ses équipements sont exposés à une faille Open SSL dans cette liste non exhaustive et agir en conséquence. Ce qui dans les cas des particuliers implique de garder à jour son équipement mobile, particulièrement ceux basés sur Android (voir 3).

3 Garder son équipement à jour

Les utilisateurs les moins aguerris devraient autoriser les mises à jour automatiques (elles le sont le plus souvent par défaut) pour une sécurisation sans douleur. Hélas, celles-ci resteront tributaires des fabricants qui se font parfois tirer l’oreille pour mettre leurs produits à jour dans les temps. Quand ils n’abandonnent tout simplement pas l'actualisation des modèles « obsolètes », comme BlackBerry ! Les usagers plus expérimentés peuvent quant à eux prendre les devants en consultant la presse spécialisée (par exemple ZATAZ ou le Monde Informatique ) et en appliquant les correctifs dès la faille identifiée. Tous les maillons de la chaîne entre l’objet et Internet doivent être à jour pour une sécurité optimale. Il est donc capital de tenir son Windows, son Android ou son iOS à jour. Rester cependant vigilant en cas de changement a posteriori des clauses d’utilisation.

4 Ne pas en divulguer trop

Nombre de produits physiques et logiciels sont gourmands en informations privées qui ne regardent que vous. Il est donc souhaitable de compartimenter ses informations. Par exemple, en utilisant une adresse email périphérique plutôt que personnelle pour ses objets, en bloquant les accès Facebook non-sollicités, les emails promotionnels de « partenaires » et les options de collecte de données. Dans la mesure du possible, se méfier du « Cloud » qui délocalise vos données et les expose à des tierces parties. Ne partagez que ce qui a strictement besoin d’être connu de l’objet et son fabricant, et rien de plus. N’oubliez pas qu’en Europe, ne pas divulguer d’information personnelle et/ou divulguer des informations fausses à quiconque autre qu’une administration ou un employeur est un droit constitutionnel éprouvé et plus que jamais à défendre. Sans nécessité, ne pas communiquer ses identifiants à proches, amis, collaborateurs.

5 Envisager un boitier de défense pour centraliser sa sécurité

Des solutions physiques type pare-feu (par exemple CUJO, Bitdefender BOX)  existent pour sécuriser de manière centralisée ses objets connectés. Leurs prix relativement élevés les destinent à des réseaux domotiques poussés. Souvent, ils intègrent un abonnement à une assistance en ligne par des experts en cas de problèmes.

6 Ne pas connecter vos objets n’importe où et sans raison valable

 

 

 

 

Les failles de ces objets peuvent être considérées comme des intrusions informatiques sur votre lieu de travail (toujours informer votre responsable technique a priori), et les informations que ces équipements transportent parfois peuvent en divulguer plus que vous ne le souhaitiez. Même chose pour les réseaux publics (aéroports, bars, hôtels) qui parfois sont activement scannés pour la collecte d’information par des individus malveillants, ou les responsables de la sécurité.

Propulsé par