Comment l'IoT bouscule notre sécurité

Des poupées Barbies piratées aux voitures hackées, les objets connectés font partie intégrante de notre vie quotidienne mais sont également des portes d'entrée vulnérables vers notre intimité. Quelles sont les menaces ? Comment se protéger ?

J’ai assisté, au cours de ma vie, à sept grandes transitions de plateforme, parmi lesquelles on peut citer :

• La transition du système central au PC
  
• La transition du PC au mobile 
  
• La transition vers l’Internet des objets (IoT) qui se déroule actuellement, et qui atteint des proportions que je n’avais jamais vues 
  

Aujourd’hui, je peux vous dire à combien d’appareils je suis connecté. Dans 2 ans, je n’en saurai rien, car le nombre d’objets dotés de capteurs qui franchiront le pas de ma porte sera bien plus important. Cette perspective est assez inquiétante, et ce même scénario freinera beaucoup de gens dans l’adoption de l’IoT. Il existe une multitude de façons de répondre à la gigantesque ampleur de l’IoT et aux problèmes de sécurité qu’il pose. Selon moi, notre univers « connecté » peut prendre 2 formes différentes : celle d’objets qui offrent commodité et rapidité, et celle d’objets qui sont source de confiance. 

Dans un monde de connexions apparemment illimitées, où nos informations sont de plus en plus exposées, qu’est-ce qui nous incite à nous équiper d’appareils connectés ? Tout simplement la confiance. Tant que nous aurons confiance en l’IoT et que nous sommes certains d’être protégés, nous continuerons d’assister à une croissance et une évolution rapide de ce marché.

Cependant, selon les dernières conclusions du rapport « Global Consumer Trust » du MEF, 36 % des personnes interrogées ont signalé des problèmes de confidentialité et de sécurité sur ce type d’appareils connectés, 27 % ont déclaré que les problèmes de confidentialité et de sécurité les empêchaient d’utiliser les applications, et 47 % ont déclaré être prêts à payer plus pour une application respectueuse de leur vie privée, qui garantirait que les données qu’elle collecte ne soient pas partagées. 

Aujourd’hui, le marché de l’IoT ressemble plus à une ruée vers l’or, sans réel encadrement. Les entreprises s’engagent dans une importante et frénétique quête de territoire, où l’accès à l’IoT et la liberté d’innover sont les valeurs dominantes. Rapidité, liberté et libre accès à cet univers sont de véritables "facilitateurs" pour les équipementiers  et les éditeurs de logiciels qui souhaitent se lancer dans cette aventure. Mais la notion de vie privée prend de l'importance et les consommateurs commencent à montrer leur intérêt pour la confidentialité et la protection de leurs données. Montres et bracelets connectés, capteurs, etc. La technologie nous colle littéralement à la peau. Nous partageons des données de plus en plus personnelles, comme nos cycles de sommeil, note état de santé, notre vitesse au volant, etc. et ce, parfois sans même nous en rendre compte !

Prenons l’exemple de Mattel et sa poupée Barbie qui répond quand on lui parle. Cette version de Siri pour enfants enregistre vos paroles, les envoie à un serveur cloud pour les traiter, puis vous renvoie une réponse. Une faille a été décelée en décembre dernier, puisqu’on a découvert que des pirates avaient pu intercepter certaines de ces communications (paroles, environnement sonore, …). Anodin pour certains, dangereux pour d'autres ... 

Les consommateurs réagissent en masse, et les actions se multiplient telles que le recours collectif contre Mattel, le mouvement européen du « droit à l’oubli » avec Google, et la dernière décision sur la Sphère de sécurité (Safe Harbor), dans laquelle l’Europe ne soutient plus la norme américaine en termes de protection des données. 

Le nombre d’organisations et de groupes cybercriminels est en hausse, et leurs capacités sont de plus en plus complexes. Ils prennent part à une économie souterraine où ils achètent et vendent des outils pour accomplir leurs méfaits. En plus des violations directes des coordonnées bancaires sécurisées, ils achètent et vendent des données confidentielles et relatives à la propriété intellectuelle. Certains, comme ceux ayant participé à l’attaque du site de rencontres extra-conjugual Ashley Madison, peuvent utiliser les données de leurs victimes pour les faire chanter, en les menaçant de divulguer des informations sensibles (ransomware).

Les pirates soutenus par un État sont également en augmentation. Ces individus sont pour la plupart financés et pilotés par des gouvernements dans le but de voler des données sensibles.

ECOSYSTÈME ET RÉGLEMENTATION, DES ÉLÉMENTS CRUCIAUX 

Que ce soit donc dans des domaines personnels ou professionnels, les failles potentielles existent bel et bien, creusées par l'abondance d'appareils connectés. Nous avons tendance à sécuriser uniquement nos appareils sans tenir compte de la vulnérabilité de leur écosystème. Et pourtant, une seule faille dans une chaine peut fragiliser tous les maillons.

Les cybercriminels en sont conscients, et cherchent ainsi la moindre faiblesse. La plupart des problèmes proviennent d’une partie des fabricants de produits électroniques, qui ne mettent en œuvre la sécurité des réseaux que progressivement, de l’intégration au sein d’un réseau d’anciens appareils infectés,  ou encore du manque d’architectures et de normes communes pour l’IoT, forçant les données d’appareils différents à voyager vers et depuis le cloud au lieu de communiquer ensemble. 

Dès lors, les politiques publiques joueront un rôle crucial dans le débat sur l’IoT. Des forces contradictoires sont déjà à l’œuvre. Tandis que certains voient comme une nécessité la prise en compte de la vie privée des consommateurs par le biais de lois comme la Sphère de sécurité, d’autres souhaitent, dans l’intérêt légitime de sécurité nationale, renoncer à la vie privée des consommateurs.

Coincés dans les bouchons, touchés par les intempéries, ... nous dépendons tous de notre écosystème : il en est de même avec l’IoT. Plus vite nous en prendrons conscience, plus vite nous serons en mesure de consolider nos appareils connectés au sein d’un réseau et d’un écosystème sécurisé et garantissant la confidentialité aux utilisateurs, afin de gagner leur confiance. C’est à cette condition que les acteurs de ce vaste secteur pourront continuer à se développer et croître.