Les dangers de l’ « internet des objets »

Capture d’écran 2020-01-08 à 11.32.58.png

Après des années d’annonces publicitaires, il semble que l’Internet des Objets (ou «IoT», internet of things)) tant annoncé pour ceux qui sont au courant (ce que je ne suis nullement) ait enfin envahi la maison. La machine à laver et le chauffage peuvent être contrôlés à partir de votre smartphone, les sonnettes de la porte d’entrée avec caméra apprennent à reconnaître les visiteurs réguliers et à détecter des visiteurs inconnus donc potentiellement suspects, nous sommes de plus en plus nombreux à moderniser nos maisons avec des appareils de ce type compatibles avec Internet. Mais avons-nous oublié de penser à la cybersécurité de cette nouvelle technologie?

Un expert n’est pas convaincu que nous y ayons vraiment réfléchi. Mikko Hypponen est directeur de recherche pour la société finlandaise de sécurité numérique F-Secure. Ayant observé l’augmentation des appareils IoT, il a inventé une nouvelle maxime pour alerter les consommateurs sur leurs dangers potentiels : « s’il est intelligent, dit-il, il est également vulnérable. C’est une règle pessimiste mais c’est vrai : plus nous ajoutons de connectivité à nos maisons, plus nous créons de vulnérabilité. »

Les grands risques pour les appareils IoT se répartissent en deux grandes catégories, explique-t-il, tous deux étant déjà exploités par des cybercriminels. La première vulnérabilité, la plus évidente, est que les appareils intelligents peuvent servir d’accès dérobé à nos réseaux domestiques, permettant aux pirates d’accéder plus facilement à nos ordinateurs portables et smartphones et à toutes les informations précieuses (des mots de passe aux cartes de crédit) que cela implique. Dans les cercles de cybersécurité, les exemples deviennent déjà légendaires: comme le casino de Las Vegas qui aurait vu sa base de données high-rollers volée par des pirates qui sont entrés dans le réseau via un logiciel malveillant.

Les appareils intelligents – comme les réfrigérateurs et les caméras des portes d’entrée – sont généralement le maillon le plus faible de votre réseau domestique. C’est un problème aggravé par le fait que les acheteurs sont rarement encouragés à prendre les précautions de sécurité les plus élémentaires, telles que la modification du mot de passe de l’appareil par rapport à son paramètre par défaut. Avec d’autres nouvelles technologies (en particulier les crypto-monnaies comme Bitcoin qui permettent des paiements indécryptables), cela a conduit à une augmentation des attaques de ransomwares (logiciels de demande de rançon) avec lesquels les pirates rendent les ordinateurs inutiles jusqu’à ce que l’utilisateur leur envoie une coquette somme d’argent. L’un des virus de ce type le plus connu était le malware Wannacry, qui a infecté les ordinateurs du NHS (sécurité sociale britannique) en 2017 apparemment à la demande de la Corée du Nord.

Alors, que peuvent faire les propriétaires de ces IoT pour protéger leurs propres appareils et plus largement leurs réseaux domestiques contre les attaques ? Selon F-Secure, une étape évidente consiste à s’assurer que votre réseau WiFi est aussi sécurisé que possible. Cela signifie changer le nom du routeur ce qui rend difficile pour les pirates informatiques d’identifier sa marque et son modèle – et, à partir de là, ses failles de sécurité – en utilisant le cryptage WPA2 et en vous assurant d’utiliser un mot de passe sécurisé. En ce qui concerne les appareils IoT eux-mêmes, les propriétaires doivent veiller à modifier le mot de passe par défaut et à envisager de désactiver certaines fonctionnalités – comme Universal Plug and Play – qui permettent aux pirates d’exploiter plus facilement leurs vulnérabilités.

Alors que les attaques de ransomwares sont en augmentation, Hypponen s’intéresse également à une nouvelle forme de cybercriminalité qui cible la prochaine vague d’appareils IoT plus petits – comme les grille-pain et les sèche-cheveux – qui se connectent directement à Internet en utilisant la 5G. Qui a vraiment besoin d’un grille-pain compatible Internet ? Eh bien, personne, admet Hypponen. Pourtant, il prédit simultanément que, comme la connectivité Internet devient de moins en moins chère, il sera bientôt impossible d’acheter des grille-pain qui ne se connectent pas à Internet.

Comment et pourquoi cela sera-t-il possible ? La raison en est que les grille-pain ne vont pas se connecter pour fournir de nouvelles fonctionnalités au client, ils fourniront plutôt aux fabricants des données en temps réel sur la façon exacte dont l’appareil est utilisé. Ce type de données de masse est extrêmement précieux pour les fabricants car ils peuvent ainsi améliorer continuellement leurs produits, mais il rend également les appareils vulnérables aux cyberattaques, en particulier étant donné que ces fabricants n’utilisent que le cryptage le plus élémentaire et ne permettent pas toujours aux utilisateurs de modifier les paramètres de leurs IoT. Au cours de la l’année 2019 il a eu plus de cyberattaques sur les appareils IoT que sur les ordinateurs Windows.

Étant donné que ces appareils ne sont généralement pas connectés à votre réseau domestique – ils accèdent directement à Internet via de minuscules puces 5G – le but n’est pas d’obtenir vos données personnelles. Les pirates informatiques veulent recruter vos appareils dans leurs «botnets», de vastes essaims d’adresses informatiques captives qui peuvent être utilisées pour attaquer les serveurs Internet en envoyant un flot écrasant de données absurdes. En 2016, des millions de ces appareils à travers le monde ont été récoltés dans le botnet Mirai, qui a réussi à supprimer des sites Web de Twitter à la BBC et de Spotify à FoxNews, l’une des plus grandes cyber-attaques de l’histoire récente. Le plus surprenant a été révélé par une étude de la firme néerlandaise de sécurité numérique Gemalto : moins de la moitié des entreprises sont en mesure d’identifier quand un élément de leurs appareils IoT a été piraté.

La cyber-sécurité des consommateurs ne fait pas partie des régulations gouvernementales et n’est pas non plus une préoccupation des industriels. Si vous achetez une machine à laver, vous pouvez être certain qu’elle ne prendra pas feu ou ne vous donnera pas de décharge électrique pendant que vous l’utiliserez, cela fait partie du cahier des charges de cet équipement domestique. Cepedant il n’existe aucune réglementation sur la question de savoir si cette machine à laver « connectée » pourrait révéler votre mot de passe WiFi aux pirates. Cela pourrait changer : le gouvernement britannique a commencé à consulter des experts de l’industrie sur la façon de développer des garanties appropriées, tandis que la Finlande vient de devenir le premier pays à introduire un label de qualité soutenu par le gouvernement pour les produits qui répondent aux normes de base de cybersécurité. Avec environ un quart des foyers britanniques utilisant déjà des appareils intelligents – et 40% déclarant qu’ils envisageraient d’en acheter un au cours des cinq prochaines années – c’est un problème qui ne disparaîtra pas de si tôt. Quelque chose à garder à l’esprit lorsque vous regardez votre nouveau grille-pain.

Inspiré d’un article paru sur le site Spectator (UK)