Sécurité : et si les objets connectés étaient nos pires ennemis ?

 
La sécurité des objets connectés ne doit pas être mise de côté. Un grille-pain connecté non sécurisé ne semble pas si dangereux, mais qu’en serait-il de millions de grille-pain vulnérables ? C’est la question qu’a posée un ingénieur de l’entreprise Green Hills Software, spécialisée dans les systèmes d’exploitation sécurisé, lors de l’évènement parisien Designing with Freescale destiné aux développeurs, à raison selon nous. Avant d’apporter quelques pistes de réflexion qui méritent certainement d’être étudiées de plus près. L’idée est de ne pas sous-estimer les nombreux appareils connectés qui sont peu voire, pas du tout sécurisés et qui pourraient nous nuire facilement à l’image des voitures connectées ou des compteurs connectés.
internet of things 4

Selon Gartner, environ 5 milliards d’objets connectés seront utilisés d’ici la fin de l’année, une hausse de 30 % par rapport à 2014. Les analystes prévoient 25 milliards d’objets connectés d’ici 2025 et Cisco va encore plus loin en annonçant 50 milliards d’objets connectés à la même date. Les objets connectés – regroupés sous le nom IoT (Internet of Things) pour les intimes – sont donc extrêmement importants dans notre économie actuelle et future.

De nombreux facteurs doivent être pris en compte afin que leur multiplication exponentielle ne pose pas trop de soucis. C’est par exemple le cas de la consommation qui doit être maitrisée pour disposer d’une importante autonomie, ou encore des coûts de production et d’utilisation : on pense notamment au coût de l’accès au réseau avec LoRa et Sigfox. Mais c’est aussi le cas de la sécurité des objets connectés. Celle-ci ne doit pas être sous-estimée, puisque les objets connectés ont une durée de vie largement plus élevée qu’un produit comme un smartphone ou une tablette. Un compteur d’eau connecté doit avoir une durée de vie de plusieurs dizaines d’années et doit donc être sécurisé pendant toute la durée de sa vie, avec le moins de mises à jour possible.

 

Des parcmètres aux voitures piratées

Dans le cas d’objets peu sécurisés, on verrait apparaitre de plus en plus de situations dérangeantes, que ce soit pour les entreprises, les pouvoirs publics et même le consommateur. On se rappellera en effet des parcmètres de Las Vegas piratées en trois jours en 2009 par des chercheurs en sécurité. Il était alors possible de recycler une carte de paiement pour la recharger gratuitement ou même pour ne pas que son solde soit diminué lors du paiement. Un manque à gagner évident pour la mairie. En 2001, des pirates étaient même parvenus à pirater les parcmètres de New York pour remettre à zéro le temps restant. Les usagers étaient alors verbalisés à leur insu.

Plus récemment, ce sont les voitures connectées qui ont fait la une des médias. On se souvient en effet cet été d’une Jeep dont le volant n’était plus entre les mains du conducteur, mais d’un pirate, assis confortablement à des dizaines de kilomètres de distance au fond de son canapé. Le problème était en fait le système multimédia, facilement piratable et relié au système de conduite sans véritable pont sécurisé entre les deux. En cause : la conception des voitures, jamais repensée depuis une page blanche, même avec l’avènement des modèles connectés.

 

Une logique de développement

Le développement d’un objet connecté très sécurisé n’est pas si évident, demande du temps et des compétences. Il faut en effet repenser le développement de la partie logicielle avec un minimum de lignes de code pour minimiser les failles, réduire les permissions au strict minimum et découper l’application en différents composants hermétiques. Un conseil qui n’avait pas été respecté par certains constructeurs, comme Jeep, constructeur de la voiture hackée. La partie matérielle doit également suivre afin de ne pas créer de faille béante.

Si l’aspect sécurité des objets connectés n’est pas pris en compte, de nombreuses situations dangereuses pourraient se créer. On pense notamment aux compteurs d’eau et d’électricité qui seront de plus en plus connectés. Il y a alors deux risques : soit tricher sur sa véritable consommation pour économiser de l’argent, soit se faire pirater le compteur pour qu’une personne mal intentionnée fasse gonfler la facture. Mais ic, le risque physique est peu présent, contrairement au piratage d’une voiture. Mais qu’en serait-il d’une armée de grille-pain, ou de tout autre objet d’électroménager en apparence inoffensif, qui se déclencheraient tous en même temps, sans protection, pour finir par enflammer tout un quartier ou plonger un pâté de maisons dans le noir à cause d’une surconsommation électrique ? On pense également à l’espionnage avec les caméras des maisons ou encore les capteurs domotiques permettant de savoir si une porte est ouverte ou fermée, tout en pouvant forcer son ouverture à distance.

lines-of-code

Les développeurs ne doivent pas donc prendre l’aspect sécurité à la légère. Le plus difficile pour les consommateurs sera de choisir le produit le plus sécurisé possible. Bien souvent, c’est le manque de sécurité qui est mis en avant par les chercheurs, une fois que le produit est déjà commercialisé depuis de nombreux mois ou nombreuses années. Mais difficile de savoir, à l’avance, si un objet est correctement sécurisé, puisque les constructeurs sont assez discrets à ce sujet. Dans les domaines les plus sensibles (voitures, comptage, etc.), on imagine que les solutions seront assez bien sécurisées puisque le financement n’est pas l’élément le plus bloquant. En revanche, pour les produits à bas coût à destination des consommateurs, il faudra être vigilant afin qu’ils ne deviennent pas nos pires ennemis.