Pour que la sécurité soit intégrée aux systèmes IoT émergents dès leur conception, les consommateurs doivent avoir conscience des nouveaux risques et exiger des niveaux appropriés de sécurité et de confidentialité.
En tant que consommateurs, il y a un certain nombre de choses que nous faisons sans y penser : se brosser les dents le matin, regarder des deux côtés avant de traverser, mettre sa ceinture en voiture, etc.
Dans un avenir relativement proche, nous serons tous amenés quotidiennement à réfléchir à la façon dont nous achetons et utilisons les appareils et services liés à l’IoT.
C’est imminent. Nous ne sommes qu’aux débuts du processus consistant à confier le contrôle granulaire de chaque aspect de notre société à des capteurs numériques omniprésents, conçus pour abreuver les algorithmes d’autres machines de plus en plus « intelligentes » avec des torrents perpétuels de données.
Les moteurs du développement du commerce centré sur l’IoT semblent impossibles à arrêter. Et pourtant, nous négligeons les profondes répercussions que cela peut avoir en matière de confidentialité et de sécurité. En tant que citoyens et consommateurs individuels, nous ne pourrons plus faire l’autruche bien longtemps, comme nous l’avons fait quand le commerce sur Internet a commencé à transformer radicalement nos filets de sécurité traditionnels au début de ce siècle. Cette fois-ci, les enjeux sont trop grands. Voici à quoi nous devons nous préparer :
Toujours plus connectés
Il ne fait aucun doute que le déploiement déjà bien avancé des systèmes IoT va se poursuivre à un rythme accéléré. D’après le cabinet d’analystes spécialiste du secteur des technologies Gartner, il y a déjà plus d’appareils connectés que d’êtres humains sur Terre. Sur les 8,4 milliards d’objets connectés utilisés en 2017, la moitié étaient des gadgets destinés aux particuliers (télévisions, montres, « babycams », thermostats domestiques, etc.), le reste se composant essentiellement des compteurs électriques intelligents et des caméras de sécurité utilisées par les entreprises et les autorités publiques.
IDC, un autre cabinet d’analystes spécialiste du secteur des technologies, prévoit que les dépenses liées à l’IoT à l’échelle mondiale vont atteindre le niveau record de 745 milliards de dollars en 2019, soit une hausse de 15,4 % par rapport aux 646 milliards de 2018. Les principaux acteurs de ce phénomène seront les secteurs de la fabrication, des produits de consommation, des transports et des services publics.
Plus les systèmes IoT collectent et analysent de données, plus ils deviennent intelligents et capables de prendre des décisions de manière autonome. De leur côté, les entreprises se réjouissent de pouvoir tirer parti des gains d’efficacité opérationnelle qui en résultent.
Les consommateurs, quant à eux, ne sont plus capables de résister à l’envie d’être toujours plus connectés. Nous sommes obnubilés par l’idée d’être en permanence reliés à notre famille, nos amis, notre travail et nos passe-temps.
Innovation criminelle
Les pirates ont sans nul doute remarqué ces évolutions et se sont mis à innover, car ils sont parfaitement conscients du fait que l’hyperconnectivité leur apporte de nombreuses opportunités, et même tout un univers d’hypercriminalité. À la suite de certaines attaques ahurissantes exploitant l’IoT, nous avons eu un aperçu de l’échelle et de l’ampleur des nouveaux risques d’exposition liés à l’IoT.
Mirai et Reaper sont deux exemples d’une nouvelle génération de botnets IoT impliquant des millions de routeurs domestiques et de caméras de surveillance infectés. Mirai continue de muter et de se multiplier, deux ans après qu’une de ses premières variantes a infecté les routeurs domestiques d’un million de clients de l’opérateur Deutsche Telekom. Des chercheurs chez Avast ont publié récemment des informations à propos de sept nouvelles variantes de Mirai qu’ils ont repérées.
Les analystes d’Avast ont disséqué le code de Mirai pour comprendre comment il a évolué pour devenir un « framework » fonctionnant comme un modèle qui a fait de la création de nouvelles variantes un véritable « jeu d’enfant », même pour des pirates en herbe n’ayant que des compétences modestes. Quiconque de mal intentionné aura donc moins de difficultés à déployer une variante du botnet Mirai conçue pour miner des cryptomonnaies, lancer des attaques par déni de service ou servir de proxy pour distribuer des malwares.
Tout naturellement, avoir de grandes quantités de données personnelles en mouvement amène aussi un nouvel ensemble de problématiques complexes en matière de confidentialité. Les données IoT peuvent être mélangées et recomposées pour créer des profils d’une précision impressionnante ! Des dossiers qui peuvent ensuite être utilisés à de bonnes fins, mais aussi pour nuire. Une étude récente a montré comment, en analysant les informations d’une maison intelligente, comme la consommation d’énergie, les niveaux de dioxyde et de monoxyde de carbone et les changements de l’humidité ambiante, il était possible de « trianguler » ce qu’une personne a mangé pour le dîner !
Manque de sécurité dès la conception
Pendant ce temps, les fabricants d’appareils et les fournisseurs de services IoT continuent de se battre pour être les premiers à commercialiser de nouvelles fonctionnalités, La sécurité dès la conception a été délaissée.
Nombre de capteurs IoT qui « aspirent » nos données professionnelles et personnelles sensibles, ainsi que les routeurs à travers lesquels passent ces données, présentent par exemple des mots de passe faibles (voire inexistants) et ne disposent pas de mécanisme uniforme pour corriger les vulnérabilités logicielles qui apparaissent inévitablement. Par ailleurs, personne n’a voulu s’engager à chiffrer le moindre de ces nouveaux flux de données, que ces dernières soient en transit ou au repos.
Les organismes de normalisation du secteur et les organismes de réglementation gouvernementaux sont bien conscients des enjeux. L’automne dernier, le département britannique du Numérique, de la Culture, des Médias et du Sport (DCMS) ainsi que le NCSC (National Cyber Security Centre) ont publié des directives incitant les fabricants d’appareils IoT à faire en sorte que leurs produits soient sécurisés dès la conception et faciles à mettre à jour.
De même, aux États-Unis, le NIST (National Institute of Standards and Technology) a passé quatre ans à élaborer un framework visant à atteindre un niveau satisfaisant de sécurité IoT. Ses travaux se sont conclus par la promulgation de la NIST Special Publication 800-160 à la fin 2016.
Mais les entreprises et les organismes gouvernementaux ont encore beaucoup à faire pour réellement régler le problème. Pour commencer, il serait bon de lancer plus de campagnes de sensibilisation du public, sur le modèle de la conférence sur la sécurité de l’Internet des objets qu’Europol et l’ENISA ont organisée à La Haye (Pays-Bas).
Il est évident que les cyberattaques exploitant l’IoT ne vont faire que s’aggraver. Cela viendra inévitablement miner la confiance que nous avons dans les services connectés, et ce, à un point sans précédent. C’est sans doute à ce moment que nous commencerons à y prêter attention en tant que citoyens individuels et dirigeants de PME. Ça n’est que si nous l’exigeons que l’Internet des objets atteindra un niveau de confiance susceptible d’assurer sa stabilité.
Que pensez-vous de la sécurité de l’IoT ? Rejoignez la conversation avec Avast sur Facebook et Twitter.
À bientôt.
Byron Acohido est un blogueur invité sur le blog Avast. Avast est leader mondial en matière de cybersécurité, en protégeant des centaines de millions d'utilisateurs à travers le monde avec un antivirus gratuit primé et en préservant la confidentialité de leurs activités en ligne avec VPN et d'autres produits concernant la confidentialité.