Des objets connectés au détriment de la sécurité
Selon l'Idate, 15 milliards d'objets connectés sont actuellement en circulation dans le monde. D’ici 2020, ce volume pourrait grimper jusqu’à 80 milliards de devices. Smartphones, montres connectées, assistants vocaux ou encore thermomètres et réfrigérateurs passent la porte des entreprises, des hôpitaux et de nos foyers. Mais dès le stade de la conception, la sécurisation de ces objets est pourtant précaire.
Dans un monde de plus en plus connecté, l’IoT ("Internet of Things") gagne chaque année du terrain. Les objets connectés n’ont jamais été si nombreux et envahissent notre quotidien, du réfrigérateur à la poubelle connectée. Exemple d’actualité, on dénombrait déjà en décembre 2018 plus de 25 millions d’assistants vocaux, stars du dernier Noël.
La démultiplication de ces objets connectés témoigne de nombreux progrès technologiques en termes de miniaturisation, de débit, ou encore de communication réseau sans fil. Les industriels sont aujourd’hui capables de produire des devices de plus en plus petits, de plus en plus performants et de moins en moins chers.
Un défaut de conception
Ces objets connectés dernier cri ne remplissent pourtant pas les conditions basiques de sécurité, notamment car les industriels qui les fabriquent sont des acteurs totalement étrangers au monde de la cybersécurité. Peu sensibilisés aux conséquences des cybermenaces, ils adoptent une approche purement business et marketing, si bien que les produits développés souffrent dès leur conception d’un problème natif de sécurité.
En conséquence, ces industries produisent des vulnérabilités à la chaîne : systèmes d’exploitation configurés par défaut, parfois périmés, faiblesse des mots de passe. Les compteurs Linky sont un exemple typique de produits qui n’ont pas été pensés pour des enjeux cyber.
Une sécurisation difficile à assurer
Côté administrateur, la sécurisation d’un objet connecté vire donc souvent au casse-tête, et le fait que ce sujet épineux vienne s’ajouter à leur millefeuille cybersécuritaire déjà bien rempli – gestion de la sécurité de l’intégralité du parc informatique de l’entreprise, navigation entre tous les systèmes d’exploitation différents (Mac, Linux, Windows), sécurisation des applications métier, protection vis-à-vis de l’extérieur etc. – n’arrange pas les choses, sans compter que parfois ces équipements sont gérés par des équipes différentes (équipements de sécurité physique par exemple).
Mal conçus en amont, difficilement protégeables en aval, les objets connectés s’invitent donc comme les carreaux brisés d’une porte d’entrée à destination de hackers qui ont des intentions variées : mafieuses, industrielles, politiques, ou commerciales. En 2018, c’est le thermomètre connecté d’un aquarium qui a notamment permis à un hacker de dérober toute la base de données d’un casino. Autre exemple récent : contrôle à distance de centaines de caméras de sécurité afin de réaliser des attaques de masse synchronisées ("attaque par déni de service").
Security by Design ?
Dans ce contexte, comment sécuriser ces objets ? Aucun individu ne pare d’instinct son Google Home de solutions de sécurité plus efficaces. Disons-le, la cybersécurité de l’IoT est en partie dépendante de la gestion des administrateurs, mais également en grande partie des efforts réalisés par les fabricants dès le stade de l’idéation et de la conception. Beaucoup de ces derniers sont encore réfractaires à verser des sommes conséquentes qui viendraient alourdir la note du consommateur finale pour durcir les systèmes d’exploitation de petits objets construits à bas coûts.
Cependant, plus les scandales de cyberattaques les toucheront, notamment d’un point de vue sanitaire et humain – imaginons le cas d’une cyberattaque sur les perfusions connectées d’une clinique privée entraînant des surdosages létaux – plus les constructeurs élèveront naturellement le niveau de sécurité de leurs objets IoT. En entreprise, des solutions qui aident à travailler en bonne entente avec les équipements IoT existent déjà : contrôle d’accès au réseau, aspect comportemental, analyse et logique des flux.
Avec la multiplication des objets connectés et leurs vulnérabilités d’usage, le piratage a de beaux jours devant lui… À moins qu’une prise de conscience partagée des entreprises et des individus ne vienne élever le niveau de sécurité de ces équipements.