22 août 2018
Selon IDC, 50 milliards d’objets connectés seront en circulation en 2025. A titre de comparaison, nous étions 7,5 milliards d’êtres humains sur terre en 2018. Il y aura donc presque sept fois plus d’objets connectés que de femmes et d’hommes dans cinq ans.
Un franc succès expliqué par les nouveaux usages offerts par cette technologie, mais pas seulement. Les objets connectés ont la particularité d’être abordables. Un avantage qui est aussi la source de leurs vulnérabilités, les fabricants optant pour des dispositifs peu chers et allouant des budgets encore mineurs à la sécurisation de ceux-ci.
Les objets connectés souffrent des mêmes maux que la plupart des équipements informatiques. En tête, l’absence de mots de passe (ou la présence de mots de passe par défaut) pour contrôler les paramètres de l’objet, son utilisation, mais aussi le stockage des paramètres de connexion les plus importants (comme un compte Google par exemple).
A ces faiblesses, s’ajoutent aussi des connectivités non sécurisées, mais également des composants non maîtrisés. L’exemple le plus criant de 2019 est sans doute celui d’un robot cuiseur connecté, vendu au sein des supermarchés Lidl et conçu pour être une version low cost du Thermomix. Cet équipement de cuisine très prisé coûte en effet plus de 1000 euros, quand la version vendue par Lidl, appelée Monsieur Cuisine Connect, revient à 359 euros. Un prix attractif synonyme de baisse des coûts de production.
En juin 2019, les journalistes de Numerama écrivent : « Numerama a découvert, avec l’aide de deux Français, que certaines caractéristiques de l’appareil soulevaient des interrogations. Notre enquête montre notamment qu’un micro a été installé dans le Monsieur Cuisine Connect, sans que sa présence ne soit indiquée, et sans qu’il n’y ait de justification apparente ».
Et l’article de poursuivre : « L’existence de ce micro non-mentionné pourrait avoir des conséquences bien plus graves en cas de tentative de piratage de l’appareil. Or, comme l’ont observé Alexis Viguié et Adrien Albisetti [les deux Français ayant découvert la présence du micro], il se trouve que Monsieur Cuisine tourne sous une version ancienne d’Android, Android 6.0, avec des correctifs de sécurité datant de 2017, ce qui rend l’appareil vulnérable aux attaques ».
Pourquoi intégrer un micro dans un robot cuiseur ? Un article de l’Express l’explique ainsi : « Le but n’est pas de mettre les propriétaires du Cuisine Connect sur écoute, mais tout simplement d’accentuer sa connexion au point d’aller jusqu’à la commande vocale […] Cette fameuse commande vocale aurait dû être mise en œuvre dès le premier jour de commercialisation du Monsieur Cuisine Connect, mais cela n’a pas pu être fait pour des raisons de production et de temps ».
Il était ainsi moins couteux de choisir des éléments électroniques et un système d’exploitation de smartphone déjà prêts plutôt que de les concevoir. Selon un chercheur en cybersécurité interrogé par ZDNet, « développer un produit communicant sécurisé coûte de 10 à 15 % au minimum plus cher qu’un même produit non sécurisé ».
Si la cybersécurité semble être une préoccupation lointaine pour le grand public, les risques pour les consommateurs sont pourtant bien réels. Le robot cuiseur aux composants vulnérables est loin d’être un cas isolé. Souvent, les objets connectés sont utilisés comme porte d’entrée par les cybercriminels dont les attaques ne sont pas toujours détectables (et détectées). Ainsi, ces mêmes objets continuent de fonctionner sans alerter leurs propriétaires et pendant ce temps, les pirates s’introduisent sur leur réseau et dérobent leurs données. Dans la même idée, tous les objets contenant une caméra ou un micro peuvent devenir de vrais petits espions s’ils sont reprogrammés à distance.
A noter que les objets connectés étant souvent construits à partir d’une même base matérielle ou logicielle, le risque de menace à grande échelle est bien réel. Ceux liés à l’intégrité physique des propriétaires, quant à eux, sont évidemment bien plus rares. Notons seulement que de nombreux équipements connectés de santé ont été analysés par des chercheurs en cybersécurité. L’un des exemples les plus connus reste celui des pacemakers pouvant être stoppés à distance, qui ont nécessité un rappel de leur fabricant aux Etats-Unis. Nous reviendrons sur ce cas dans un article publié prochainement.
Pas de panique néanmoins ! Il existe des bonnes pratiques qui peuvent prémunir de la plupart des risques énoncés dans cet article :
Dans un dossier consacré aux objets connectés publié par Usbek & Rica, était mis en exergue la phrase suivante : « Nous en sommes encore à la préhistoire des objets connectés ». Une affirmation simple mais vraie. Selon une étude de Gartner, reprise par Les Echos en janvier 2018, « d’ici 2022, la moitié de tous les budgets alloués à la sécurité pour l’IoT [Internet of Things] serviront plutôt aux mesures de correction, aux rappels et aux problèmes de sécurité qu’à la protection ».
Ainsi, des acteurs commencent à se positionner sur le marché de la sécurisation des objets connectés. BlackBerry, longtemps connu pour ses téléphones à clavier ciblant particulièrement les cadres, se reconvertit peu à peu vers ce nouveau secteur. « En 2025, il y aura au moins 75 milliards d’objets connectés dans le monde, mais une seule vulnérabilité pourra tous les exposer à un risque cyber », exposait John Chen, le PDG de la firme canadienne en 2018. Son idée : créer une plateforme dédiée à la sécurité des objets connectés. Celle-ci « s’adresse aux fabricants des objets connectés de demain qui voudront assurer la sécurité de leurs produits (voitures, matériels médicaux, etc.) selon les standards BlackBerry. Mais aussi aux organisations qui voudront administrer et tracer l’usage des objets dans leurs usines (robots, capteurs) ou entre les mains de leurs salariés (smartphones, ordinateurs). BlackBerry imagine même des scénarios dans un contexte de ville intelligente où mairies et gouvernements prendraient le pouls de la ville en temps réel depuis la plate-forme Spark. La société a annoncé un partenariat en ce sens avec la municipalité de Londres », analyse Les Echos en 2018.
BlackBerry n’est évidemment pas la seule entreprise à capitaliser sur la sécurité de l’IoT. Les éditeurs de cybersécurité comme les Managed Security Service Providers (MSSP) travaillent depuis longtemps sur des standards de sécurisation.
Orange, via Orange Cyberdefense et Orange Business Services, a notamment travaillé sur l’élaboration d’un référentiel de sécurité proposé par la GSMA (Global System for Mobile communications Association) allant des objets aux applications, en passant par les réseaux. Déjà décliné pour les processus internes d’analyses de risques des IoT, Orange a pour objectif de sensibiliser les fabricants d’objets à l’utiliser pour le développement de leurs produits.