Objets connectés : état des lieux

Kevin Townsend 30 avr. 2019

La sécurité n’est pas intégrée aux nouveaux appareils intelligents, car ils doivent être rapidement lancés sur le marché.

Les technologies intelligentes et l’Internet des objets (nous l'appelons IoT pour les entreprises et appareils intelligents pour la maison) se développement rapidement, et bien souvent, la sécurité intégrée y est minimale, voire absente. Chez nous, séduits par l’attrait des nouvelles technologies, nous achetons et utilisons ces technologies intelligentes sans comprendre leurs dangers potentiels.

Une étude menée en 2018 a révélé que seuls 20 % des utilisateurs avaient une compréhension approfondie des technologies intelligentes, et plus de 50 % ne se souciaient pas des problèmes de confidentialité. Il existe un manque de communication entre les innovateurs matériels, le secteur de la sécurité et les consommateurs. Bien souvent, notre compréhension de ce qu’est ou de ce que n’est pas un appareil intelligent, de son interaction avec Internet et de sa corrélation avec nos données personnelles est floue. La sécurité n’est pas intégrée aux nouveaux appareils intelligents, car les fabricants doivent les lancer rapidement sur le marché.

« Intelligent » sous-entend deux choses : une capacité de traitement et une connectivité à Internet. Tout objet doté d’un processeur peut être piraté ; et tout objet doté d'un processeur et d’une connectivité à Internet peut être piraté à distance. C’est précisément cette implication qui est mise de côté par la ruée vers les bénéfices des fabricants et notre propre ruée vers la gloire.

Cela s’applique aux appareils intelligents de toutes tailles, aux appareils importants et insolites, ainsi qu’aux appareils à l’intérieur et à l’extérieur du domicile.

Les appareils intelligents se connectent à nos réseaux domestiques pour profiter du cloud. Nous téléchargeons souvent une application sur nos téléphones pour pouvoir les contrôler à distance en toute sérénité. Nous connaissons probablement certains des appareils intelligents les plus courants : Les enceintes Alexa d’Amazon, les robots aspirateurs comme le Roomba, nos téléviseurs intelligents et connectés à Internet, etc.

Les grands objets intelligents importants

Nos vies dépendent des objets intelligents

La possibilité de voir des voitures qui se conduisent toutes seules à grande échelle dans un futur proche exalte notre imagination, mais alimente aussi notre paranoïa. Une vidéo de 2015 a démontré comment des pirates ont pu pirater une Jeep Cherokee intelligente. Le centre de divertissement du véhicule était le seul composant directement connecté au cloud, mais une fois cet élément compromis, les pirates ont pu prendre un contrôle total du véhicule, y compris le volant, l’accélérateur et les freins, au grand dam du conducteur.

Et la tendance ne s’est pas améliorée ces dernières années. En 2018, une équipe de pirates éthiques en Chine a découvert et révélé 14 failles de sécurité dans les véhicules BMW qui étaient présentes depuis 2012.

Encore plus effrayant que le piratage de nos véhicules, il a été démontré que les dispositifs médicaux tels que les stimulateurs cardiaques, les pompes à insuline et les moniteurs de signes vitaux pouvaient être piratés, et que les conséquences pouvaient être désastreuses. Les lecteurs se souviendront peut-être du Sergent-artilleur Nick Brody de la série télévisée « Homeland ». Brody a orchestré l’assassinat du vice-président William Walden en facilitant le piratage d’un stimulateur cardiaque qui a augmenté le rythme cardiaque de Walden jusqu’à ce qu’il ait une crise cardiaque. Ce n’est pas totalement invraisemblable.

Systèmes tiers intelligents

Nous ne devrions pas seulement nous soucier de nos appareils intelligents. L’équipement de surveillance public moderne et les réseaux de vidéosurveillance sont également des appareils intelligents. Cependant, ces appareils censés améliorer notre sécurité peuvent parfois avoir l’effet inverse. De nombreux systèmes de caméras connectés présentent des failles de sécurité. Cela a été prouvé par la société de sécurité Senrio, qui a pu exécuter ce qu’elle a appelé des attaques Rube Goldberg. Senrio a commencé par prendre le contrôle total d’une unique caméra de sécurité, puis s’est emparé de la totalité du réseau. Lorsque les bonnes failles sont présentes, un seul appareil peut compromettre l’intégralité du réseau. Et si cela venait à se produite, qui sait qui vous regarde, où ou pourquoi ?

En avril 2017, un ou plusieurs pirates ont pénétré dans le système d’avertissement extérieur de la ville de Dallas. Il s’agit d’un réseau de sirènes conçu pour prévenir les habitants qu’ils doivent rester chez eux. Elles ont été activée plus d’une dizaine de fois en l’espace de deux heures avant et après minuit, jusqu’à ce que les ingénieurs parviennent à les désactiver manuellement.

Les panneaux d’avertissement électroniques sur la route sont également une cible privilégiée. Les pirates ont pris le contrôle des composants électroniques et ont transmis leurs propres avertissements : « Panda Sauvage fait un carton », « Invasion de zombies ! Évacuation », et « Vous serez tous en retard, bande de nazes, MDR ».

Les appareils intelligents des enfants

Après les appareils potentiellement mortels et la menace d’un coup d’état envers la surveillance publique par des acteurs malveillants, nous arrivons à ce qui devrait être l’une des applications les plus innocentes et les plus sûres de la technologie intelligente : les produits pour enfants. Contre toute attente, ceux-ci semblent faire partie des catégories les moins sécurisées et les plus ciblées dans l’écosystème des appareils intelligents. En février 2019, une montre connectée pour enfants fabriquée en Allemagne a été rappelée par l’Union Européenne lorsqu’il a été révélé que son application de contrôle présentait des failles considérables. L’appareil aurait potentiellement pu être compromis pour permettre aux pirates de suivre les mouvements des enfants en temps réel ou d’usurper les données de position GPS pour tromper les parents.

Une gamme de jouets connectés intelligents appelés CloudPets a été retirée d’Amazon et d’eBay en 2018 après la découverte de nombreux problèmes de sécurité. Ce jouet permettait aux enfants d’enregistrer ou de recevoir des messages entre le jouet et son application sur smartphone. Non seulement cette fonctionnalité fut aisément détournée, mais la société à l’origine de CloudPets a subi une violation de données, exposant les informations d’un demi-million de clients.

Les problèmes de sécurité répandus et néfastes des jouets pour enfants furent si importants qu’en 2017, une poupée interactive nommée Mon amie Cayla fut considérée comme « un appareil d’espionnage illégal » par l’Agence fédérale des réseaux allemands.

Les milliers de petites choses qui composent les grandes

Nous avons vu certains des dangers les plus alarmants et insolites des appareils intelligents et connectés. On est en droit de supposer que les appareils intelligents moins technologiques, comme un réfrigérateur que l’on peut contrôler à partir de son téléphone, un robot aspirateur dont le nettoyage peut être planifié, seraient plus sûrs. Ce n’est pas le cas. Peu importe sa taille, son apparence ou le caractère autonome d’un appareil intelligent, il ne faut jamais ignorer sa sécurité.

Les botnets peuvent tout utiliser

L’Internet des objets (qui désigne plus couramment les appareils intelligents) se rapproche dangereusement des botnets malveillants. Le botnet Mirai est probablement le plus connu d’entre eux. Il a fait la une des journaux en 2016 lorsqu’il a été utilisé pour cibler le blogueur Brian Krebs avec le plus grand DDoS au monde (même si des DDoS plus graves ont eu lieu depuis).

La plupart d’entre nous envisagent les routeurs et les webcams comme les membres principaux d’un botnet de l’IoT. Mais ce n’est plus le cas. Tout ce dont un botnet de l’IoT a besoin, c’est d’un appareil ayant une adresse IP et en mesure de transmettre des données. Cela s’applique à la plupart des appareils connectés. En fait, dès 2013, un chercheur de la société Proofpoint a inventé le terme « Thingbot » comme remplacement potentiel de la notion de botnet de l’IoT. Des spams étaient envoyés par un botnet se composant notamment de réfrigérateurs et de téléviseurs connectés.

L’IoT et les appareils intelligents sont désormais devenus des cibles de choix pour les pirates, en lieu et place des applications Web ou des serveurs. Un rapport de F5 Networks publié en 2018 dit ceci : « En dehors de l’utilisation habituelle des routeurs SOHO, des magnétoscopes et des caméras IP, des objets tels que votre téléviseur, votre four, votre réfrigérateur, Amazon Alexa, Siri et l’Assistant Google, votre cafetière Keurig (oui, nous avons remarqué une attaque venant d’une Keurig) et des jouets ont été ciblés et utilisés pour espionner, collecter des données ou lancer des attaques. »

En raison de la croissance attendue de l’IoT et des appareils intelligents à plus de 30 milliards d’ici 2020 — et peut-être à plus de 75 milliards d’ici 2025, le problèmes des botnets de l’IoT ne fera qu’empirer.

L’interconnexion des données

Même si n’importe quel appareil doté d’un minimum de puissance de traitement et connecté à Internet peut devenir un rouage de la machine des botnets malveillants, ce n’est pas la seule chose qui motive les pirates à cibler les appareils intelligents plus petits ou plus insignifiants. Un appareil IoT compromis peut souvent compromettre les autres appareils sur le même réseau. Peut-être n’avez-vous pas modifié le mot de passe par défaut d’un arroseur intelligent pour votre jardin. Après tout, que pourrait-il se passer ? La pelouse est trop arrosée car il ne s’éteint pas ? Mais cela pourrait bien permettre à des pirates de diffuser des malwares sur votre réseau domestique, soit en enrôlant vos autres appareils IoT dans un botnet, soit en lisant les informations personnelles des applications de votre smartphone, ou en vous regardant secrètement à l’aide de vos propres caméras de sécurité.

En parlant d’applications, il est important de rappeler que les appareils physiques ne composent pas l’intégralité de l’Internet des objets. La quasi-totalité des gadgets intelligents seront associés à une application sur PC ou mobile, afin de vous aider à contrôler l’appareil et à en tirer le maximum. Ces applications sont parfois facultatives, mais elles sont souvent nécessaires pour pouvoir utiliser toutes les fonctions de l’appareil. Cela pose un problème : les applications peuvent souffrir des mêmes défauts de sécurité que les appareils. De récentes recherches (janvier 2019) menées par des universités brésiliennes et américaines ont découvert que 31 % des appareils IoT les plus vendus ne chiffraient pas du tout les données, tandis que 19 % d’entre eux étaient équipés d’un chiffrement facile à décompiler et à forcer. Une application de contrôle IoT sur deux présente une sécurité insuffisante.

Soyez prudents

La mauvaise nouvelle est que les utilisateurs comme nous ne constituent qu’une partie du processus nécessaire à l’amélioration de la sécurité de l’IoT. Les créateurs des appareils et les concepteurs des applications de contrôle ont encore beaucoup de pain sur la planche. La bonne nouvelle est que nous ne sommes pas impuissants pour assurer notre sécurité. Et bien entendu, nous avons des sociétés de sécurité comme Avast pour nous aider. Si la sécurité intelligente vous inquiète ou si vous êtes connecté à l’Internet des objets, jetez un œil à Avast Smart Life pour ajouter une couche intelligente à la sécurité des appareils. Pendant que vous faites cela, n’oubliez pas que nous pouvons adopter d’autres pratiques pour assurer la sécurité de nos appareils.

Restez à jour et modifiez le mot de passe par défaut

Cela s’applique à tous les logiciels ou services que nous utilisons, et c’est on ne peut plus vrai pour nos appareils intelligents. Assurez-vous que les applications de contrôle de ces appareils sont maintenues à jour pour les protéger contre les failles connues. Certains produits IoT peuvent également posséder un micrologiciel, qui doit être mis à jour de manière indépendante. Cela s’applique notamment aux routeurs : consultez le blog Avast sur les routeurs dans une maison intelligente pour plus de détails.

Et si l’appareil possède un mot de passe que vous pouvez modifier, cela doit devenir votre priorité numéro un. Nous avons compilé de bons conseils concernant les mots de passe et comment créer des mots de passe forts ici.

Ne donnez aucune donnée personnelle à ce qui n’en a pas besoin

Pour finir, un autre conseil de sécurité quasi-universel à toujours garder en tête concernant l’Internet des objets et les appareils connectés : ne partagez pas plus de vos données personnelles que ce qui est absolument nécessaire au fonctionnement de l’appareil. Vos options dépendent de l’appareil, et certaines peuvent bloquer une partie des fonctionnalités tant que vous ne fournissez pas d’adresse e-mail ou d’autres informations de contact. En règle générale, si vous pouvez ne pas divulguer vos informations de contact ou financières à une application de contrôle, mieux vaut ne pas le faire. Assurez-vous de profiter de votre maison connectée tout en protégeant vos informations personnelles d’une divulgation potentielle.


Kevin Townsend est un blogueur invité du blog Avast où vous pouvez vous informé des dernières nouvelles sur la sécurité. Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs à travers le monde avec un antivirus gratuit primé et préservant la confidentialité de leurs activités en ligne grâce notamment à un VPN et autres produits de confidentialité. 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.

--> -->