Il y a de ces phénomènes qui sont autant d’opportunités pour ceux qui savent en profiter. Et pas toujours dans des buts positifs.

De plus en plus, des voix s’élèvent par exemple pour mettre les utilisateurs – professionnels comme particuliers – en garde contre les risques que constitue la noria grandissante de systèmes, gadgets, équipements et objets du quotidien connectés à Internet.

Des sociétés spécialisées dans la sécurité informatique lancent de plus en plus souvent des avertissements, estimant que si on n’y prendre garde, l’Internet des Objets ressemblera bien plus à un Internet des Vulnérabilités.

Dernier en date, Symantec qui, dans ses traditionnelles prédictions de début d’année, joue les oiseaux de mauvais augure, soulignant que l’objet le plus anodin – ou familier – peut devenir un aimant irrésistible pour des personnes mal intentionnées. Téléviseurs, compteurs électriques intelligents, décodeurs, électronique embarquée de votre voiture… Tout est potentiellement source de menaces, de piratage, de contamination et d’intrusions.

Attention aux babyphones-espions. Attention aux téléviseurs qui collectent toutes vos données et interactions (certains fabricants le font systématiquement, en toute légalité, pour monétiser les données en vue de publicités ciblées). Attention aux nouveaux pirates (numériques) de la route (avez-vous encore la maîtrise de votre GPS, de vos jauges, de votre circuit électrique?)…

Et dire que l’on nous invente des brosses à dent ou des implants connectés…

L’utilisateur à nu

Que dit Symantec? “Les spécialistes de la sécurité ont déjà prouvé qu’il était possible d’attaquer les télévisions intelligentes, les équipements médicaux et les caméras de sécurité. Des attaques sur les moniteurs de bébé ont également été découvertes et, en Israël, un grand tunnel a dû être fermé à la circulation parce que des pirates étaient apparemment entrés sur le réseau informatique via le système de caméras de sécurité. […]. Parfois, les sociétés qui créent de nouveaux appareils pour se connecter à Internet ne se rendent même pas compte qu’elles vont rapidement avoir un problème de sécurité.

Source: Symantec

Ces systèmes ne sont pas seulement vulnérables face aux attaques, ils ne prévoient aucun moyen pour avertir les utilisateurs et les entreprises lorsqu’une attaque est détectée. Pire encore, il n’existe aucune méthode simple d’utilisation pour corriger ces nouvelles vulnérabilités. Les utilisateurs doivent donc s’attendre à l’arrivée de menaces inédites à ce jour. […]

Cet “Internet des vulnérabilités” concerne ainsi les récents développements technologiques promus et mis en place dans le secteur de l’énergie notamment, avec par exemple les compteurs intelligents. Ces vulnérabilités pourraient générer des retards dans leurs développements, ainsi que dans celui des “smart cities” et ainsi mettre en péril les données confidentielles d’administrations, d’entreprises et bien sûr de citoyens. En 2014, la protection des infrastructures critiques ne s’arrête ainsi plus aux centrales nucléaires, mais doit être désormais étendue à l’ensemble des infrastructures qui permettent un fonctionnement normal d’un pays et d’une économie.”

Et la société appuie ces mises en garde sur quelques cas récents d’attaques. “Un ver a d’ores et déjà attaqué un large éventail d’appareils connectés, notamment des décodeurs et des caméras de surveillance. Un botnet a quant à lui envoyé des communications malveillantes à partir de périphériques tels que des plates-formes multimédia, des télévisions et au moins un… réfrigérateur.”

L’un des vers découverts, baptisé Linux.Darlloz, exploite une vulnérabilité du langage PHP pour entrer subrepticement dans un ordinateur, s’arroger des droits d’administration pour modifier par exemple les mots de passe et se propager à d’autres systèmes. Ce qui est gênant, c’est que ces autres “systèmes” ne se limitent pas aux ordinateurs traditionnels. Linux.Darlloz existe en effet en différentes versions qui s’attaquent aux processeurs Intel, ARM, PowerPC, MIPS… Et dans ces derniers, on trouve justement les puces qui rendent les “objets” en tous genre “intelligents” et connectés- depuis les babyphones jusqu’aux machines industrielles en passant par les décodeurs et les caméras de surveillance.

Quelle parade?

Pour éviter toute mauvaise surprise, il s’agira tout d’abord de bien choisir son fournisseur d’“objets”, s’assurer que tel ou tel système a été sérieusement testé et que sa conception et sa fabrication ont pris en compte un minimum de critères de sécurité.

Le consommateur ou l’utilisation, quant à lui, devra apprendre à protéger ses objets connectés comme il le fait – ou devrait le faire – avec son ordinateur, son smartphone (ce qui est déjà plus rare) ou son routeur Wi-Fi (ce qui n’est pas fréquent non plus).

Quelques conseils de Symantec? “Sécuriser les routeurs et les appareils domestiques avec un mot de passe personnalisé et complexe contenant une combinaison de lettres, chiffres et symboles, et accorder beaucoup d’attention aux paramètres de sécurité de tous les nouveaux appareils.

S’assurer que le pare-feu du routeur est allumé et configuré.

Désactiver la fonction d’accès à distance, préconfigurée, si l’objet en question n’a pas besoin de communiquer avec l’extérieur.

Vérifier régulièrement le site Internet des fabricants afin de voir si de nouvelles mises à jour logicielles existent. Si des failles de sécurité sont découvertes, les fabricants fournissent des patchs (correctifs) dans les mises à jour logicielles.”

Au minimum, il faudra veiller à paramétrer correctement la configuration d’une série de dispositif. Pour éviter les intrusions en tous genres. En ce compris celles de gens qui sont simplement curieux et qui peuvent utiliser un système parfaitement légal. A savoir, le moteur de recherche Shodan qui ne se contente pas de fureter à la recherche de sites Internet mais explore le Net à la recherche de tout système connecté. Si l’un d’eux, chez vous, au travail ou ailleurs, n’est pas correctement configuré, tous les internautes un rien curieux pourront s’immiscer dans ce qui était jadis votre intimité. Via des smartphones, des caméras de surveillance (domestiques comprises)…

Symantec signale par exemple que Shodan peut débusquer “des caméras de surveillance (domestiques comprises), des systèmes de chauffage télécommandés, des usines de traitement d’eaux usées, des voitures, des feux de signalisation, des moniteurs cardiaques ou des systèmes de contrôles de centrales électriques”.

Toujours pas inquiet, même un chouia?