Sécuriser l’IoT, un enjeu majeur pour les smart cities

A l’ère du tout connecté, les villes sont en pleine mutation pour devenir des smart cities toujours plus intelligentes et visant à simplifier le quotidien des citoyens. L’IMD Business School de Singapour vient de dévoiler la première édition de son Smart City Index 2019.

Ce classement – au sein duquel la France arrive en 23e position avec Lyon, puis Paris à la 51e place – liste 102 grandes villes du monde en fonction de leur intégration des nouvelles technologies, y compris l’Internet des objets (IoT).

Selon Gartner, 14,2 milliards d'objets connectés seront utilisés dans le monde d'ici la fin de l’année. La technologie IoT permet aux appareils digitaux de transférer des données sur un réseau sans interaction humaine ou interférence. Collectivement, sur un vaste territoire en particulier, l'IoT peut être extrêmement utile car il permet de collecter une très grande quantité de données au fil du temps. En outre, grâce à la surveillance et à l'analyse des systèmes municipaux, les gouvernements peuvent prendre des décisions mieux adaptées et fondées sur des données en matière de gestion et de planification municipales.

L’Australie a par exemple récemment achevé son plus grand projet de ville intelligente, "Switching on Darwin", s’élevant à plus de 10 millions de dollars australiens, dans le cadre duquel elle a déployé plus de 900 luminaires LED intelligents, un réseau de 138 nouvelles caméras de vidéosurveillance, 24 capteurs environnementaux et de stationnement, parmi de nombreux autres dispositifs connectés. Les caméras et les capteurs suivent la façon dont les piétons et les véhicules se déplacent dans la ville. Ils recueillent des données qui seront utilisées par les fonctionnaires municipaux afin de surveiller les conditions de circulation, d’optimiser les itinéraires et de mieux gérer les services d'urgence.

Toutefois, la prolifération de l'IoT est aujourd'hui un sujet de préoccupation du point de vue de la cybersécurité, mais également un défi pour gérer les coûts. De nombreux objets connectés ont des mots de passe prédéfinis qui restent souvent inchangés. Dès lors, ils deviennent des cibles faciles pour les cybercriminels et un moyen pour eux d'accéder au réseau. Les dispositifs compromis peuvent également être infectés par un logiciel malveillant et transformés en un botnet susceptible d’être contrôlé à distance. En outre, le temps et les ressources humaines nécessaires pour installer des dispositifs IoT peuvent constituer des goulots d'étranglement importants en termes d’adoption.

Les objets connectés non sécurisés présentent un danger avant, pendant et après leur déploiement. Aussi, comment pouvons-nous mieux les sécuriser pour garantir que les villes intelligentes résistent à tout incident ou attaque ? Il existe aujourd’hui trois défis majeurs en matière de sécurité de l’IoT.

Avant le déploiement : des mots de passe et des paramètres par défaut

L'absence persistante de normes de sécurité de l'IoT et des pratiques de déploiement d’appareils avec des mots de passe par défaut ouvrent la voie aux cyberattaques. Combien de temps faut-il pour obtenir ces mots de passe ? Les chercheurs de l'Université Ben-Gourion basée en Israël ont pu découvrir les mots de passe d'un échantillon de 16 appareils IoT en moins de 30 minutes avec une simple recherche Google.

Pendant le déploiement : une mauvaise installation

La plupart des appareils IoT sont non protégés ou mal connectés en raison de protocoles dépassés, ce qui les rend vulnérables face aux pirates cherchant à accéder aux données. Selon une étude récente d'Avast, des millions d'appareils utilisent des protocoles obsolètes tels que Telnet, connus pour transférer des données en texte clair.

En 2016, le malware Mirai a profité de l'insécurité des périphériques IoT pour ouvrir des ports Telnet et tenter de se connecter avec des mots de passe par défaut. L'attaque massive par déni de service (DDoS) a rendu une grande partie d'Internet inaccessible sur la côte Est des États-Unis et a interrompu les services en Amérique du Nord ainsi que dans certaines parties de l'Europe vers des sites majeurs comme Amazon, PayPal et Netflix.

Après le déploiement : la mise en route peut être compliquée

L'intégration des dispositifs IoT est susceptible de représenter un défi même après leur installation, en particulier dans le cas d'installations complexes sur des zones étendues avec un grand nombre d’appareils. Dans le cadre d'un projet de ville intelligente, ce processus d'intégration des périphériques, tels que les parcmètres intelligents, peut prendre environ 20 minutes chacun, impliquant une coordination entre les techniciens, les équipes technologiques opérationnelles et celles en charge du réseau et de la sécurité informatique. Si l'on multiplie ce chiffre par 29 000 places de stationnement dans le seul quartier central des affaires de Sydney par exemple, cela représente une grande perte de ressources et remet alors en question l'évolutivité de projets futurs comme "Switching on Darwin".

Une grande connectivité s'accompagne de grandes opportunités, mais également de grandes responsabilités. Il est temps pour tous les intervenants concernés, des secteurs public et privé, de trouver de meilleures façons de faire face aux nouvelles vulnérabilités en matière de sécurité et de protection de la vie privée. Il est aujourd’hui primordial que les leaders technologiques et les fournisseurs travaillent ensemble pour établir des normes de sécurité, quel que soit le secteur. L'IoT enregistrant une croissance exponentielle, cette collaboration et cette standardisation de l'industrie sont essentielles pour éliminer tous les points de défaillance potentiels des systèmes.