Alors que notre quête pour créer une présence en ligne à tous les objets physiques continue, les appareils connectés peuplent de plus en plus nos vies quotidiennes. Tandis que nous recherchons à rendre nos vies toujours plus agréables, ou simplement plus faciles, la question de l’Internet des Objets se pose de plus en plus et se démocratise. Selon la Fondation Mozilla, les études prédisent que près de 30 milliards d’appareils seront en ligne d’ici 2020!
Pour autant, l’IdO (Internet des Objets) n’est pas seulement une question de plaisir personnel ou d’efficacité, ni même de types de produits tels que les montres connectées ou ampoules intelligentes. Grâce aux innovations en matière de logiciels, de réseaux, de gestion de cloud, de Big Data, ou encore de Machine Learning, l’IdO se répand comme une traînée de poudre dans de nombreux secteurs. Cela concerne aussi également des infrastructures considérées comme critiques, car de nombreuses industries investissent dans l’Internet des Objets Industriels avec l’objectif d’améliorer l’efficacité des infrastructures, la gestion de l’énergie, les soins de santé et d’autres services publics divers.
N’importe quel dispositif ou système connecté à Internet, du plus superficiel au plus utile, doit forcément prendre en compte des critères de sécurité et de confidentialité. Toutefois, les questions relatives à la sécurité et la protection de la vie privée ont souvent relevé d’une considération secondaire, en particulier dans la conception de dispositifs IoT destinés aux consommateurs. La sécurité et la confidentialité de gadgets, souvent limités en ressources, semblent avoir été remplacées au profit des fonctionnalités, de la connectivité Internet, d’une faible consommation d’énergie et bien sûr par les tendances dictées par le marché.
Cela pourrait ne pas être vraiment un problème si l'utilité des appareils ne reposait pas sur notre volonté de partager nos données avec ces gadgets (et donc par conséquent avec leurs fabricants et éventuellement d’autres tiers). Dans de nombreux cas, ce partage compile des données hautement privées qui sont collectées et partagées de manière invisible avec une technologie souvent conçue pour être discrète. Toutes ces commodités, bien qu’elles facilitent la compréhension et la facilitation de notre bien-être, constituent néanmoins l’autre partie du compromis.
Notre amour pour les technologies connectées à Internet (ou notre dépendance à leur égard) a outrepassé notre faculté à protéger nos appareils et nos données. En l'absence de précautions de sécurité appropriées, le réseau en développement rapide de périphériques, d’objets, d’applications et de services qui se parlent et échangent constamment élargit considérablement la surface d'attaque, qui s’avèrent être autant de points d'exposition que des personnes malveillantes peuvent exploiter pour des cyberattaques.
Dans le cas de l’Internet des Objets, il est clair que peu de compétences techniques sont nécessaires pour attaquer des objets connectés et ceux-ci peuvent même être utilisés pour infecter d'autres appareils. Ajoutez à cela le mix de données souvent très personnelles collectées par les capteurs de l'appareil, et nous assistons à une sacrée échappée belle de la vie privée!
Les inquiétudes progressent également car l'IdO signifie souvent également une convergence du monde numérique et du monde dit physique. Si nous laissons de côté quelques exemples sans grand risque d’objets connectés tels que les brosses à dents intelligentes, la vulnérabilité de nombreux autres types d’appareils de l’IoT peut avoir des cependant des conséquences désastreuses sur notre monde réel.
Les distributeurs d’insuline et les stimulateurs cardiaques ne sont que quelques-uns des exemples de dispositifs activés par l’IoT et contenant des failles de sécurité qui pourraient être exploitées par des pirates en vue de résultats catastrophiques. Ce type d’appareil considéré comme vulnérable offre également aux hackers la possibilité d'accéder à d'autres dispositifs sur nos réseaux, exposant ainsi les informations associées à ces derniers.
Alors que la campagne de sensibilisation à la cybersécurité en Europe (ECSM pour European Cyber Security Month) touche à sa fin, regardons de plus près certains facteurs clés qui rendent difficile la maîtrise des menaces qui pèsent sur la sécurité de l’Internet des Objets.
Logiciels à problèmes
Beaucoup de gadgets sont criblés de failles de sécurité dès la sortie de leur boite d’emballage. Leur micrologiciel, soit le logiciel installé sur une puce intégrée à l’objet, peut contenir des vulnérabilités parfois anciennes voire déjà bien connues et certaines même sur le point d’apparaître sur le marché. Toutefois, même la révision de code la plus exhaustive et minutieuse peut laisser échapper certains types de bugs pouvant conduire à des failles de sécurité (en supposant bien entendu qu’une révision de code soit entreprise au départ).
De plus, les mises à jour de sécurité paramétrées en mode automatique et diffusées par voie hertzienne ne sont pas toujours des plus évidentes avec les appareils connectés. Cela laisse souvent une porte grande ouverte aux défaillances en tout genre au cours de l'utilisation du produit. Même lorsque de telles mises à jour sont publiées, elles sont souvent inaccessibles à un utilisateur lambda qui peut les trouver trop difficiles à installer et/ou ne simplement pas en voir l’intérêt. Le plus souvent même, il n’a d’ailleurs jamais connaissance de l'existence de ces updates.
Pire encore, il arrive que le logiciel ne soit pas du tout mis à jour sur certains appareils. Dans de tels cas de figure, leurs utilisateurs ne sont généralement pas au courant des failles connues et ne peuvent les résoudre avec aucune autre méthode.
Entrez!
Un autre problème récurrent qui affecte l’univers de L’Internet des Objets concerne l’authentification médiocre (voire inexistante) et permettant un accès non autorisé aux systèmes d’objets connectés déployés (et les données des utilisateurs qui y sont relatives).
Trop souvent, ces gadgets ne possèdent pas de sécurité par défaut. Ils utilisent des informations d'identification publiques, faciles à deviner et même codées en dur qui ne nécessitent souvent qu'une recherche Google pour être résolues. Malheureusement et tout aussi facilement, les utilisateurs n’y prennent pas garde et s'en tiennent aux paramètres par défaut : ils ne changent donc pas leurs noms d'utilisateur et leurs mots de passe.
Retour en 2016 pour illustrer ce propos avec un exemple des plus frappants : le botnet malveillant Mirai frappait en forçant brutalement l’accès à des dizaines de milliers de périphériques connectés qui s’exécutèrent avec des informations d'identification par défaut. Le botnet a ensuite été programmé pour mener une série d'attaques par déni de service (DDoS) qui ont détruit des milliers de sites Web pour de nombreux internautes, en particulier sur la côte est des États-Unis.
Les informations privées peuvent également être compromises en raison d'un manque d'authentification lors de l'établissement des communications, d'un cryptage de données inexistant entre le périphérique et son concentrateur ou des services hébergés dans le cloud qui reçoivent les données. Malheureusement, de nombreux périphériques ont des ressources informatiques limitées et n’ont même pas la possibilité d’utiliser de protocoles de cryptage suffisamment puissants.
« La donnée contrariante »
Une équipe d’universitaires à Oxford a récemment publié un article intitulé ‘« La vie privée, c’est ennuyeux » : perceptions des utilisateurs et comportement dans l’Internet des objets »’. Ils ont constaté que, si de nombreuses personnes considéraient que les gadgets connectés étaient inférieurs en termes de familiarité, d’utilisation et de respect de la vie privée des utilisateurs par rapport à des appareils moins nouveaux tels que les ordinateurs portables et les téléphones intelligents, ils continuaient néanmoins à acheter lesdits objets. Surnommé le « paradoxe de la vie privée », cette disparité entre opinions et actions a été attribuée principalement à une sensibilisation moins attentive à la sécurité.
En effet, les consommateurs peuvent parfois ne pas être au courant qu'un appareil est connecté à Internet et partage leurs données. L’Internet des Objets marque un tournant fondamental dans l'interaction entre les utilisateurs et leurs données personnelles. Ce changement se traduit par des défis sans précédent en matière de confidentialité et des problèmes de confidentialité bien différents desquels nous sommes déjà familiers.
En tout état de cause, le potentiel de l’Internet Of Things ne peut être accompli si les choix des utilisateurs en matière de confidentialité ne sont pas dûment pris en compte. Cependant, nous ne pouvons pas nous protéger si nous ne sommes pas conscients des risques encourus.
Suggestions for further reading:
Interred in the Internet of Everything
How to start analyzing the security of your IoT devices
Privacy by Design: Can you create a safe smart home?