Les objets connectés posent d'immenses problèmes de sécurité informatique. La preuve cette affaire au cours de laquelle des pirates ont réussi à accéder frauduleusement aux données d'un casino grâce à... un thermomètre d'aquarium connecté.

Voilà encore un fait divers qui illustre à quel point les objets connectés peuvent être de véritables passoires : lors d’une conférence à Londres, raconte Business Insider, la patronne d’une société de sécurité informatique a fait part d’un cas symptomatique du très faible degré de protection qu’offrent certains produits, alors même qu’ils peuvent être branchés à un réseau dans lequel des données sensibles circulent.

En l’occurrence, le cas dont a dû s’occuper l’entreprise concerne un casino qui s’est fait pirater une base de données — en l’occurrence celle des « high roll », c’est-à-dire les joueurs et les joueuses qui font de grosses mises — à cause… d’un thermomètre connecté qui était placé dans l’aquarium du hall d’entrée. Le nom du casino n’a pas été divulgué, mais l’incident a débouché sur une copie des données de cette base.

guillaume-poupard
Guillaume Poupard

La sécurité des objets connectés constitue la hantise de nombre de responsables qui travaillent dans la sécurité informatique. Le patron de l’Agence nationale de la sécurité des systèmes d’information, Guillaume Poupard, est de ceux-là. Début 2017, le chef du garde du corps de l’État dans le domaine informatique évoquait même des catastrophes si des actions malveillantes atteignent des systèmes industriels.

Or si un processus de labellisation des intégrateurs de confiance peut être envisagé dans le domaine industriel, tout comme la certification de certains appareils conçus pour ce secteur, il n’est pas forcément possible de reproduire cette méthodologie pour des objets qui sont orientés pour le grand public et qui sont parfois proposés par des startups dont les moyens financiers sont restreints.

« Pour des objets plus grand public, plus low-cost, ça ne fonctionne pas, car l’évaluation coûte cher, est lourde et prend du temps. Nous ne pouvons donc pas demander à la prochaine star du CES d’être évaluée selon ces méthodologies-là. […] Deux solutions se présentent : des évaluations plus légères ou l’auto-évaluation », expliquait-il au site Industrie et Technologies.

Certes, ce n’est pas la solution idéale, mais le patron de l’Agence de cybersécurité juge que cela obligerait tout cet écosystème à franchir une première marche, certes basique, mais qui est préférable à la situation actuelle. « L’industriel certifierait qu’il respecte un cahier des charges générique » et pourrait se soumettre à des crash-tests pendant un mois pour « permettre d’obtenir un premier avis sur le niveau de confiance du produit ».

« Pour des objets plus grand public, plus low-cost, l’évaluation coûte cher, est lourde et prend du temps »

Le faible degré de sécurité des objets connectés n’inquiète pas qu’en France.

Aux États-Unis, Vinton Cerf, considéré comme l’un des pères de l’Internet pour avoir participé à la mise au point du protocole TCP/IP, a expliqué en 2014 que la sécurité de ces appareils est capitale, alors que se développent des activités comme la médecine personnalisée, qui ont besoin de s’appuyer massivement sur les données médicales, donc très intimes, des utilisateurs.

Cette inquiétude s’est aussi exprimée dans l’administration américaine. « Dans les années qui viennent, les acteurs étatiques et non-étatiques vont sans doute utiliser les objets connectés pour mener des opérations de renseignement, pour accéder à des réseaux informatiques ou pour conduire des actions de piratage », a mis en garde Daniel Ray Coats, le directeur du renseignement national aux USA.

Thermostat Nest
Un thermostat connecté de Nest.

On a eu un aperçu de ce qu’il est possible de faire avec des objets connectés mal sécurisés avec la spectaculaire opération contre Dyn, à l’automne 2016. Il est possible de les transformer en puissants vecteurs pour conduire des attaques informatiques. Ici, un logiciel malveillant, Mirai, a pu infecter des caméras de surveillance qui ont été utilisées ensemble pour faire tomber Dyn, une sorte d’annuaire pour les sites.

Avec l’extension d’Internet au monde physique, des objets du quotidien, même anodins, peuvent servir à des fins malveillantes Des failles peuvent être exploitées afin de nuire aux propriétaires de tel ou tel appareil connecté ou pour mener des attaques coordonnées sur des cibles précises. Prudence, donc, si vous envisagez d’acheter un réfrigérateur connecté ou un thermostat intelligent.

Partager sur les réseaux sociaux