La domotique, nouveau terrain de jeu des cybercriminels
Les objets connectés envahissent la maison et font naître le risque de formes d'intrusion inédites au cœur des foyers.
En 2016, le monde prend soudainement conscience que les objets connectés résidentiels peuvent devenir la cible d'attaques informatiques massives. Un virus baptisé Mirai prend alors le contrôle de centaines de milliers d'entre eux : caméras connectées, imprimantes, équipements réseau... Il les détourne de leur fonction principale et les utilise comme relais pour saturer l'un des principaux gestionnaires d'adresses web aux Etats-Unis (Dyn). Résultat, les sites web recourant à ce service, parmi lesquels Amazon, eBay, Netflix, Spotify ou Twitter se retrouvent coupés d'Internet.
"En matière de domotique, on distingue plusieurs risques. L'utilisation des ressources informatiques des objets, comme c'était le cas avec Mirai, en est un. La violation de leurs données, par exemple pour cartographier une maison, en est un autre", détaille Nicolas Arpagian, vice-président de la stratégie et des affaires publiques d'Orange Cyberdefense. Autre risque évoqué par l'expert : la prise de contrôle à distance de caméras de surveillance en vue de préparer un cambriolage ou de capter des images compromettantes. Un vrai film d'espionnage.
"Plus prosaïquement, une personne malintentionnée pourra chercher à neutraliser un réseau domotique pour le rendre inopérant", ajoute Nicolas Arpagian. Et Francis D'Souza, directeur de la stratégie pour les solutions IoT et analytiques chez Thales, de renchérir : "Les objets connectés sont généralement pilotés depuis des serveurs distants hébergés dans le cloud. Du coup, les flux de données qui transitent entre les deux environnements peuvent également être interceptés s'ils ne sont pas protégés."
Les éditeurs déjà positionnés
Pourquoi tant de risques ? "Parce qu'il n'existait pas encore de législation contraignant les fabricants. Beaucoup ont donc délaissé la sécurité et préféré se concentrer sur l'ergonomie", analyse Nicolas Arpagian. Illustrant le phénomène, les appareils ciblés par Mirai étaient souvent sécurisés par des mots de passe identiques ou lisibles dans leur couche logicielle. Une aubaine pour les pirates.
"L'EU Cybersecurity Act introduit un mécanisme uniformisé de certification en cybersécurité qui s'appliquera aux objets connectés"
Entré en vigueur le 27 juin 2019, l'EU Cybersecurity Act vient combler ce vide. "Il introduit un mécanisme européen uniformisé de certification en matière de cybersécurité des produits et services. Les objets connectés sont évidemment concernés", souligne Francis D'Souza chez Thales. C'est à l'agence européenne de sécurité des informations et des réseaux que revient la mission de définir le nouveau cadre de certification. Quant aux dispositif d'accréditation et de supervision des organismes chargées d'évaluer la conformité des technologies, il est de la compétence des Etats.
Les entreprises expertes en sécurité n'ont pas attendu pour avancer sur le nouvel échiquier. Elles déclinent aux objets domotiques des applications, dites d'espace confiance, déjà déployées sur le front de la voiture connectée ou des réseaux d'énergie intelligent. "Appliquées à la maison connectée, ces solutions consistent à équiper chaque appareil d'une identité et d'une clé de chiffrement uniques. Via un cryptage de bout en bout, on protège ainsi le réseau domotique contre les attaques", explique Francis D'Souza. Autre mission ciblée par ces acteurs : la chasse aux failles de sécurité. Un phénomène qui n'échappe pas à la domotique. Dernier exemple en date, des chercheurs ont découvert qu'il était possible de commander par laser des enceintes de Google et d'Amazon à plusieurs dizaines de mètres de distance. Les deux groupes vont devoir corriger le problème.
Identifier par la voix
Et si le pirate parvient à pénétrer dans la maison et atteindre physiquement l'objet ? Dans ce cas, d'autres solutions entrent dans la danse. "Une application de supervision pourra dans ce cas détecter les comportements suspects", souligne Nicolas Arpagian. Evidemment, on pense à l'ouverture d'une porte connectée à une heure inaccoutumée. Face à ce risque d'intrusion, la reconnaissance de la voix, que permettent les enceintes Amazon Alexa ou Google Assistant, s'érige désormais en solution toute trouvée pour identifier le propriétaire de la maison.