On a tendance à en parler comme s'ils étaient de simples gadgets. Pourtant, ils devraient bientôt devenir la norme. Les objets connectés débarquent, et avec eux, c'est un changement de paradigme et de nouvelles questions de sécurité qui s'imposent.
D'ici 2020, nous devrions avoir sur Terre 20,8 milliards d’objets connectés. Encore naissant, le marché de l’Internet des objets (IoT) devrait devenir la norme d'ici 5 ans, lorsque 15% de tous les objets seront connectés.
Or, cette arrivée massive de nouveaux produits ne peut décemment se résumer au fait qu'ils nous "faciliteront la vie". Reliés à nos smartphones, tablettes et/ou ordinateurs, ces objets, que l'on fait entrer chez nous comme s'ils étaient anodins, sont loin d'être totalement sécurisés.
Sous couvert d'améliorer notre quotidien, ces thermostats, montres et autres objets connectés sont très gourmands en données personnelles. Informations sur votre santé, votre localisation, vos activités... Le confort qu'offrent ces produits ne doit pas se faire au détriment de la protection de la vie privée.
Personne ne pense à sécuriser une cafetière
Au-delà des informations sur vous que vous prenez le risque de révéler, les objets connectés sont également un danger si des personnes mal intentionnées s'y intéressent. L'attaque par déni de service contre l'hébergeur français OVH ou encore le récent piratage de Dyn, qui avait mis une partie d'Internet à plat, montre qu'ensemble, des objets connectés peuvent constituer une armée et mettre en place un "réseau zombie" capable de se réunir pour saturer la bande passante d'un serveur donné et donc mener à bien une attaque.
En attendant, existe-t-il une façon de sécuriser autant que possible ces objets connectés ?
La plupart des constructeurs n'ont pas la culture de la sécurité
"Non", affirme Fabrice Epelboin, spécialiste des questions de cybersécurité et enseignant à Sciences po Paris, interrogé par Mashable FR. "Mon conseil serait tout simplement : évitez absolument d'en acheter", poursuit le partisan de la neutralité du Net qui a cofondé feu Owni.
Selon celui qui est aujourd'hui à la tête de Yogosha, une entreprise spécialisée dans la détection de failles informatiques, il est évident que la grande majorité des produits connectés disponibles sur le marché n'ont pas été pensés pour être sécurisés. Un oubli volontaire et motivé par des raisons économiques ? "Même pas. Trop souvent, les objets sont d'abord pensés sous l'angle de leur utilisation dans la vie quotidienne. La question de la sécurité, elle, demeure complètement à la marge", analyse Fabrice Epelboin.
Surtout, le problème vient du "développement agile" propre au fonctionnement des start-up. "Elles mettent un produit sur le marché, recensent ses bugs, puis seulement cherchent à l'améliorer", explique-t-il. Contrairement aux logiciels, les mises à jour ne peuvent pas être automatiques. Fatalement, un produit imparfait restera donc en utilisation – et c'est comme ça qu'une attaque visant des caméras connectées peu fiables est capable de couper Internet au Liberia. Ainsi, tant qu'un objet n'est pas attaqué, le constructeur ne pensera pas à sa sécurisation.
La sécurité est encore un détail
Un début de solution existe, mais elle prend du temps : déployer des clés de sécurité sur chacun des objets connectés. Avec un système de carte à puce qui permet de chiffrer intégralement la transaction d'informations entre l'objet connecté et son terminal (ordinateur, téléphone portable, tablette), il devient tout à coup bien plus difficile de hacker le système. Ce principe existe déjà dans les voitures connectées, que les constructeurs ont doté d'éléments sécurisants. "Les cartes à puce sont carrément soudées dans la voiture, ce qui permet de sécuriser toute communication avec elle", confirme Lionel Baraban, cofondateur de l'entreprise Famoco spécialisée dans la solution sécurisée de lecteur de carte NFC. "Tout le monde a en tête que perdre le contrôle d'une voiture peut être dangereux... Personne ne pense à sécuriser une cafetière ou une lampe", soupire-t-il.
Dans leur grande majorité, les objets connectés ne sont pas du tout sécurisés. "L'attaque peut venir de la cafetière. La plus grande faiblesse des réseaux aujourd'hui vient des objets connectés", constate-t-il.
"C'est quand ils sont réunis que les objets connectés augmentent leur pouvoir de nuisance"
À l'échelle du consommateur, sécuriser ses objets connectés ne passe guère que par de petits gestes à la marge, comme se créer un pseudonyme ou encore ne pas centraliser toutes les données sur une même adresse e-mail (voir les conseils de la CNIL en fin d'article). Or, ces actions ne préservent pas pour autant l'appareil de toute attaque. "Un thermostat tout seul ne posera pas de problème majeur", explique Lionel Baraban, "le problème, c'est plutôt si quelqu'un prend contrôle de 400 000 foyers et programment les thermostats à 40°C pour faire exploser une centrale nucléaire". Face à l'étanchéité des réseaux, c'est avec l'effet de masse qu'augmente le niveau de menaces.
Pour expliquer le peu d'égard qu'ont de nombreux constructeurs pour la sécurisation de leurs produits, Lionel Baraban a une comparaison intéressante à offrir : "Autrefois, dans le monde du PC, on mettait des antivirus mais on ne sécurisait pas les claviers. On avait développé des systèmes incroyables pour protéger les ordinateurs, le tout en oubliant carrément que des hackers pouvaient prendre possession des claviers...", explique-t-il.
Mettre les constructeurs face à leurs devoirs
Pour forcer les constructeurs à prendre en compte les questions de sécurité, "il faudrait instaurer une responsabilité juridique, sans doute un peu compliquée à caractériser juridiquement, mais pas impossible à mettre en place", affirme Fabrice Epelboin.
Il faut une traçabilité
"Prenez le secteur des steak hachés : aucun acteur de la filière n'aurait envie de voir son nom associé à des steaks plein de champignons. Pourquoi ? Parce qu'il y a une traçabilité. Si vous imposez un retrait de leurs produits aux constructeurs de produits connectés défaillants, ils prendront certainement davantage en considération les enjeux de sécurité de leurs marchandises", poursuit-il.
Or, à l'heure actuelle, il n'existe pas encore de juridiction très claire. On continue trop souvent à considérer les objets connectés comme de "simples gadgets". Pourtant, s'ils devaient se frayer une place dans notre quotidien, ils auraient tout intérêt à être sans faille. Surtout, il devient urgent de statuer sur ce que les entreprises ont le droit de faire et de ne pas faire avec les données personnelles accumulées. En l'état, de nombreux consommateurs ne sont pas sensibilisés à leurs droits en terme de vie privée.
Les consommateurs, impuissants devant ces questions de sécurité
"Prenez une cliente lambda, Madame Tout-le-monde, qui aurait acheté un pèse-personne connecté ou une table de cuisson connectée. On ne peut pas attendre d'elle qu'elle change régulièrement son mot de passe, efface son historique, utilise un pseudonyme... alors qu'elle n'en a pas les compétences", s'exclame Fabrice Epelboin. D'autant plus que, si on y réfléchit, un objet connecté est supposé faciliter la vie, pas la compliquer en devenant une source de stress.
La sécurisation de l'Internet des objets doit donc essentiellement se faire en amont, du côté des constructeurs, plus qu'au niveau des consommateurs, dont il n'est pas sérieux d'exiger qu'ils soient tous alertes sur ces questions.
Les recommandations de la Cnil
Malgré tout, la Commission Nationale de l'Informatique et des Libertés (CNIL), qui rappelle qu'il est important d'être "vigilant sur la manière de partager et de donner des accès à ces données", a listé quelques recommandations a minima. L'autorité conseille ainsi :
- de protéger par un mot de passe l’écran de déverrouillage du smartphone (ou de la tablette) utilisé avec l’objet connecté ;
- d’être vigilants sur les aspects de sécurisation, en particulier pour les objets produisant des données sensibles, sur votre santé ou sur vos enfants ;
- d’être attentif concernant votre vie privée et celle des autres, notamment en évitant de capter ou de stocker des données sensibles, et en désactivant le partage automatique sur les réseaux sociaux ;
- de s’assurer de la possibilité d’accéder aux données et de les supprimer ;
- de penser à effacer ses données lorsqu’on n’utilise plus un service.
Dans le cas des objets qui nécessitent l’ouverture d’un compte en ligne, il est recommandé :
- d’utiliser au maximum des pseudonymes au lieu de vos véritables noms et prénoms ;
- de ne communiquer que le minimum d’informations nécessaires au service (par exemple, donnez une date de naissance au 1er janvier si le système a besoin de déterminer un âge) ;
- de créer et de communiquer une adresse de messagerie différente pour chaque objet, chaque service en ligne, et d’éviter d’utiliser une adresse qui serait partagée par les personnes de votre foyer (famille.dupont@...) ;
- de ne pas employer le même mot de passe pour plusieurs services en ligne.
C'est un début. Mais il faut garder en tête que ces plis à prendre ne suffiront pas à enrayer tout risque d'attaque. Aux États-Unis par exemple, le cardiologue de Dick Cheney en avait bien conscience : il a désactivé le Wi-Fi du pacemaker connecté de son patient pour éviter toute cyberattaque et meurtre anonyme. Sachant qu'il est techniquement possible de pirater un stimulateur cardiaque à distance, il est devient clair que personne ne pourra se contenter des quelques conseils de la CNIL pour se sentir protégé.
Quelque chose à ajouter ? Dites-le en commentaire.