L’Internet des Objets (IoT) démultiplie potentiellement les risques de sécurité, failles, vulnérabilités et la capacité qu’en ont certains de les exploiter. Or, les utilisateurs – privés mais aussi professionnels – n’ont pas toujours le degré de maturité nécessaire pour y faire face et – surtout – pour s’en protéger.
Le fait est toutefois que sécurité et Internet des Objets devront faire bon ménage. Sans quoi, on s’apercevra sans doute rapidement qu’on a ouvert là une jolie boîte de Pandore. Les premiers virus qui se sont manifestés dans le monde de l’automatisation ont fait de gros dégâts. Rappelez-vous Stuxnet… Et ce n’est, potentiellement, qu’un avant-goût de ce que pourrait être l’avenir. Il serait en effet plus qu’illusoire de croire que tous nos “objets” connectés, du plus anodin au plus vital, ne tenteront pas les hackers, terroristes, “infiltreurs” professionnels…
Une ampleur insoupçonnée
Détourner un objet de sa fonction première, dérober des données et informations deviendront sans doute un sport très prisé par certains- individus, sociétés, Etats…
Alarmiste? Schizo? Des exemples déjà bien réels de piratage indiquent le contraire. Voir notre article “Objets connectés: l’âge d’or du hijacking?”
Voici quelques mois, Symantec, société spécialisée dans les solutions de sécurité informatique, lançait un avertissement. “Les spécialistes de la sécurité ont déjà prouvé qu’il était possible d’attaquer les télévisions intelligentes, les équipements médicaux et les caméras de sécurité. Des attaques sur les moniteurs de bébé ont également été découvertes et, en Israël, un grand tunnel a dû être fermé à la circulation parce que des pirates étaient apparemment entrés sur le réseau informatique via le système de caméras de sécurité. […]. Parfois, les sociétés qui créent de nouveaux appareils pour se connecter à Internet ne se rendent même pas compte qu’elles vont rapidement avoir un problème de sécurité.
[…] Ces systèmes ne sont pas seulement vulnérables face aux attaques, ils ne prévoient aucun moyen pour avertir les utilisateurs et les entreprises lorsqu’une attaque est détectée. Pire encore, il n’existe aucune méthode simple d’utilisation pour corriger ces nouvelles vulnérabilités. Les utilisateurs doivent donc s’attendre à l’arrivée de menaces inédites à ce jour.” Relire l’article que nous y avons consacré.
Rien de neuf, si ce n’est l’ampleur
Que l’on connecte des “objets” et équipements sur un réseau privé ou propriétaire ou qu’on fasse passer leurs communications (qui, pour rappel, seront “spontanées” et constantes) sur Internet, les problèmes de sécurité sont identiques, rappelle Grégorio Matias, consultant et patron de MCG. “La seule différence est l’impact.” Nombre de communications qui transitent encore par des réseaux et bus propriétaires (notamment dans le domaine des bâtiments intelligents ou dans l’industrie) emprunteront, demain (si ce n’est déjà le cas), des chemins IP. “Plus on connecte de choses, plus on crée potentiellement de la valeur et de la richesse [en termes économiques] mais reste à orchestrer et à superviser. L’Internet des Objets touche de plus en plus de choses mais la maturité dans le champ de la sécurité n’est pas présente”, prévient-il.
Domicile, entreprise, industrie: même combat
“La domotique, en termes fonctionnels, arrive à maturité mais on n’en mesure pas encore les impacts. Un peu comme ce fut le cas avec le Wi-Fi, lorsqu’il est arrivé dans les foyers.”
Grégorio Marias se dit nettement moins inquiet pour le secteur de l’industrie: “les industriels savent que la sécurité – physique, notamment – est importante et ils ont les moyens de se payer des consultants. Ils ne connecteront pas n’importe quoi…”
Des embûches décuplées
Il y a déjà le BYOD (bring your own device) avec la complexité que cela suppose pour les responsables IT d’intégrer tous ces équipements semi-privés/semi-professionnels dans le contexte de l’entreprise. Demain, il faudra sans doute raisonner en termes de BYOT (bring your own thing), la “chose” pouvant prendre des formes diverses: un smartphone (encore lui), mais aussi les bracelets connectés, des capteurs censés être dédiés à des fonctions médicales, les voitures connectées qui stationneront à proximité des locaux ou en sous-sol, le rasoir “intelligent” que tel employé a emmené dans son attaché-case, etc, etc…. Tous des “objets” connectés à Internet, communiquant potentiellement en continu, servant de chevaux de Troie pour des petits hackers futés.
Les choses risquent d’être très différentes dans le monde des entreprises. Et ce, en raison du phénomène de “consumérisation”, qui prend la forme du principe BYOD (bring your own device). “Aujourd’hui déjà, le réseau [de l’entreprise] n’est pas sécurisé. L’Internet des Objets y ajoute une nouvelle dimension…”
Qui doit assumer la responsabilité de la sécurisation? Le chef d’entreprise? Le responsable informatique? Lire également notre article consacré aux responsabilités.
Qu’en est-il au niveau des petites structures (PME/TPE) qui constituent la majorité du tissu économique local? “Lorsqu’il n’y a pas de directeur IT dans les murs, la responsabilité incombe clairement au directeur général. Là où une structure IT existe, il faut désigner un responsable chargé de la mise en oeuvre de mesures d’information et de sécurisation. Il devra faire rapport à la direction, qu’il s’agisse du directeur IT ou du directeur financier, par exemple.” La “première ligne” de responsabilité échoit donc à l’IT. “Le directeur général, lui, ne prendra conscience de la problématique que lorsqu’un problème se sera posé.”
Conscientiser
“Si l’on regarde du côté du particulier, personne n’a aujourd’hui la maturité nécessaire pour sécuriser les solutions domotiques”, assène Grégorio Matias. C’est que la chose est loin d’être simple si l’on veut éliminer tout risque d’exploitation sauvage, de vol de données ou d’intrusion. Il faudrait notamment constituer une zone sécurisée pour les communications entre objets, ériger une barricade contre les hackers et consultations par des personnes non autorisées, sans pour autant se priver soi-même d’accéder aux objets, capteurs et données par la voie d’un VPN et/ou de mécanismes de chiffrement. Il faudrait filtrer les autorisations par application, par objet, etc. etc.
Philippe Drugmand, responsable du département R&D au CETIC, confirme la complexité souvent insoupçonnée: “Il s’agit de bien définir le “profil” de chaque objet, de chaque utilisateur, de définir les scénarios d’utilisation, de recourir à du chiffrement. Mais, dès l’instant où l’on accède à un objet en s’authentifiant, qu’il y ait ou non cryptage, la porte est ouverte…”
Sans parler de la vérification que les données qui sont confiées au cloud sont bel et bien sécurisées, inattaquables. A moins de ne pas exporter quoi que ce soit vers le cloud et tout garder chez soi ou à tout le moins auprès d’un prestataire avec qui on est connecté via des “tuyaux” et mécanismes sans failles. Mais cela restreint voire annihile le concept même d’Internet des Objets et de plus-value née de l’analyse massive d’informations apparentées pour obtenir de meilleurs services.
Moins anodin, en dépit de ce qu’il y paraît, le “vol de données” au départ de votre compteur énergétique “intelligent”. De quoi détecter vos habitudes de vie- types de consommation, périodes de présence à domicile… “Si les communications pour les relèves de consommation, se font via Wi-Fi domestique ou Wi-Fi urbain, rien n’empêche quelqu’un d’insérer un mécanisme (virtuel) entre le modem et le Wi-Fi pour capter les données, voire changer les relevés”, souligne Loïc Bar, fondateur de The Smart Company. Le hacking peut également intervenir au niveau du stockage des données chez le prestataire (quel qu’il soit).
“Aussi longtemps que le particulier n’aura pas mesuré l’impact et les conséquences [d’une vulnérabilité, d’un hacking, d’une fuite ou d’un vol de données], il ne se posera pas la question et continuera tout simplement de profiter des fonctionnalités qui lui sont offertes”, estime Grégorio Matias. Il prend un exemple basico-basique: une caméra qui serait installée dans une maison. “La caméra vient avec sa configuration de base, autorisant son accès à distance, permettant de charger une application puisée dans une marketplace. Dès cet instant, la caméra publie les information dans le service cloud du fabricant. Qu’advient-il si la caméra filme soudain en permanence? Si les images sont sauvegardées et publiées dans le cloud et qu’un hacker s’y intéresse? La question de la sécurisation, le particulier se la posera malheureusement toujours après qu’un incident se soit produit. Pas avant!”
L’exemple venu d’en haut
A qui incombe le soin d’informer et de sensibiliser? “Les autorités publiques ont une responsabilité.” Elles assument ce rôle de sensibilisation dans d’autres domaines – la sécurité routière, la précaution face au hacking bancaire… “
Je crois qu’il y a, aujourd’hui, deux poids deux mesures en matière de sensibilisation. Face aux morts dans les accidents de la route, on mène une politique de prévention. Mais en matière de réseau et d’Internet, je ne vois rien. Or, c’est important pour l’économie…”
Il sera intéressant de voir quelles mesures prendra éventuellement le nouveau gouvernement fédéral. L’accord de gouvernement consacre plusieurs paragraphe au problème de la cybercriminalité et de la sécurité. On peut notamment y lire ce qui suit: “Trois objectifs stratégiques seront posés comme principes, afin de garantir la cyber-sécurité:
- l’aspiration à un cyber-espace sûr et fiable dans le respect des droits et des valeurs fondamentaux de la société moderne;
- l’aspiration à une sécurité optimale et à la protection des infrastructures critiques, au potentiel scientifique et économique pour lutter contre les cyber-menaces;
- le développement de capacités cyber-sécuritaires propres pour une politique de sécurité indépendante et une réaction adéquate aux incidents de sécurité.
Le Centre pour la Cyber-sécurité Belgique sera chargé d’élaborer une stratégie de cyber-sécurité et ce, tant sur le plan de la sécurité des informations et des réseaux que sur celui de la lutte contre la cybercriminalité (organisée). […]
Le gouvernement concrétisera la cyber-stratégie belge en mesures opérationnelles précises et effectives et développera cette stratégie nationale en concertation avec le secteur privé. Il s’agira en l’occurrence de l’assurance d’une détection et d’une réaction rapides en cas de cyber-attaque contre les systèmes et réseaux d’information essentiels de l’Etat et contre les infrastructures critiques, ou encore du renforcement des informations prodiguées aux citoyens et aux entreprises à propos de menaces existantes et de leur sensibilisation.’
Si, au moins, le secteur public montrait l’exemple, estime-t-il. Mais ce ne semble pas être le cas. Il évoque, à ce sujet, la “goutte d’eau” de 10 millions d’euros que le fédéral a fini par débloquer après que plusieurs ministères aient été hackés (Affaires étrangères, bureau du Premier ministre…). “La réaction est identique à celle qu’on voit dans le domaine de l’entreprise. C’est comme une invite à enfreindre les règles. Il faut un accident avant qu’on ne réagisse…”
Le premier lieu où le rôle d’information et de prévention des autorités publiques pourrait – devrait – s’exprimer à ses yeux est celui de l’éducation. “Il faut éveiller les nouvelles générations, qui sont l’avenir de nos civilisations, aux avantages, inconvénients et risques de sécurité, que ce soit au niveau de la vie privée ou des dommages physiques par exemple. Il y va du devoir des autorités publiques.”
Elles ne sont évidemment pas les seuls vecteurs de conscientisation: les centres de compétences, par exemple, ont eux aussi un rôle potentiel à jouer. Et un acteur tel l’Infopole Cluster TIC pourrait lui aussi prendre le problème à bras-le-corps. Au travers de sa “grappe” sécurité. Afin de mobiliser les acteurs IT locaux actifs sur ces deux terrains (sécurité et Internet des Objets). Mais, en la matière, peu de choses ont été faites à ce jour.
“Peut-être les choses changeront-elles maintenant que l’impact potentiel devient sociétal…”
Toujours plus ou avec modération?
Parce qu’on a toujours tendance à croire (ou à se persuader) que tout le monde il est beau, tout le monde il est gentil (il suffit de remplacer “monde” par applis ou fabricants/prestataires), l’utilisateur – privé ou professionnel – a encore tendance aujourd’hui à consommer et utiliser sans grand discernement toutes les fonctionnalités qu’on lui fait miroiter.
Grégorio Matias prend à nouveau l’exemple de l’automobile et du nombre croissant de composants connectés que l’on retrouve désormais au sein de l’habitacle. “Il y a deux tendances sur le marché. Ceux qui prônent une richesse fonctionnelle maximale à des fins de différenciation par rapport à la concurrence et ceux qui considèrent d’abord les risques et qui soulignent que les solutions, le secteur n’est pas mûr. Imaginez une voiture dont un hacker prend le contrôle et qui provoque un carambolage…”
Pour des raisons de santé financière et de compétitivité, les constructeurs intègrent de plus en plus de systèmes qui leur sont proposés par les équipementiers. Il y va en effet de leur intérêt financier – pour vendre plus de véhicules – d’intégrer de plus en plus de ces systèmes connectés.”
Philippe Drugmand, responsable du département R&D au CETIC, émet un avis semblable. “Ce que veut avant tout l’utilisateur, c’est un objet simple. Le fournisseur, lui, veut surtout que vos données circulent. Et le prestataire de réseau veut pouvoir facturer un maximum de trafic. Il y a là des points de vue, des intérêts contradictoires.”
“Bien entendu”, ajoute Grégorio Matias, ”les constructeurs sont également poussés dans le dos par les gens qui en demandent toujours plus… La responsabilité du consommateur est également engagée. Notre ère de consumérisation fait, en d’autres mots, des ravages. Face à ce qu’il appelle l’inflation du superficiel et du gadget, Grégorio Matias en appelle dès lors à en revenir à des raisonnements plus “intelligents”, basés sur le besoin réel. Et à sensibiliser les jeunes générations… le plus tôt possible.
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.