Selon l’Idate, 15 milliards d’objets connectés sont actuellement en circulation dans le monde. D’ici 2020, ce volume pourrait grimper jusqu’à 80 milliards de machines. Smartphones, montres ou encore perfusions, thermomètres… les équipements connectés passent la porte des entreprises, des hôpitaux et de nos foyers. Pourtant, bien souvent dès le stade de la conception, la sécurisation de ces objets est précaire. Du pain béni pour des hackers qui multiplient avec aisance les attaques s’appuyant sur ces faiblesses.
L’explosion des objets connectés
Dans un monde de plus en plus connecté, l’IoT (« Internet of Things ») gagne chaque année du terrain. Les objets connectés n’ont jamais été si nombreux et envahissent notre quotidien (réfrigérateur, poubelle, équipements liés de près ou de loin à la domotique…). Exemple d’actualité : on dénombrait déjà en décembre de l’année dernière 25 millions d’assistants vocaux, stars du dernier Noël.
La multiplication de ces objets connectés témoigne de nombreux progrès technologiques en termes de miniaturisation, de débit, ou encore de communication réseau sans fil. Les industriels sont aujourd’hui capables de concevoir des produits high tech de plus en plus petits, de plus en plus performants et de moins en moins chers.
Des failles présentes dès la conception
Ces objets connectés dernier cri ne sont pas exempts de défauts, et quelques-uns d’entre eux ne respectent pas un certain nombre de concepts fondamentaux de sécurité, notamment car les industriels qui les fabriquent sont parfois des acteurs totalement étrangers au monde de la cybersécurité. Peu sensibilisés aux conséquences des cybermenaces, ils adoptent alors une approche orientée business et marketing, si bien que les produits développés souffrent de temps à autre dès leur conception d’un manque de sécurisation non négligeable.
Les vulnérabilités utilisées par les hackers pour compromettre ces machines sont nombreuses, et peuvent être de différents types : configuration déployée (systèmes d’exploitation configurés avec des paramètres par défaut, fragilité des mots de passe…), faiblesses identifiées dans le logiciel embarqué, etc. Elles peuvent être éliminées en partie par un travail sérieux de configuration et de mise à jour, mais est-ce toujours facile à appliquer – ou même simplement appliqué – sur le terrain ?
Une sécurisation difficile à assurer
Côté administrateur, en entreprise, la sécurisation d’un objet connecté peut rapidement virer au casse-tête : chaque catégorie nécessite des droits d’accès au réseau différents (simples équipements de commodité, équipements de sécurité physique, matériel personnel des employés (téléphones mobiles, tablettes…), postes des utilisateurs), utilise un système d’exploitation particulier avec ses propres contraintes et vulnérabilités, et une fraction significative de ces équipements est d’ordinaire gérée par des équipes différentes (climatisation par exemple), ce qui rend la simple constitution d’un inventaire exhaustif assez complexe.
Le fait que ce sujet épineux vienne s’ajouter à leur millefeuille cybersécuritaire déjà bien rempli (sécurisation des applications métier, protection vis-à-vis de l’extérieur…) n’arrange pas les choses, et il n’est pas rare que ces appareils soient laissés à l’abandon sur le réseau d’entreprise.
Tantôt mal conçus en amont, pas toujours évident à recenser et à classifier, difficilement sécurisables, les objets connectés s’invitent donc comme les carreaux brisés d’une porte d’entrée à destination de hackers qui ont des intentions variées : mafieuses, industrielles, idéologiques, ou encore pécuniaires. En 2018, c’est le thermomètre connecté d’un aquarium qui a notamment permis à des hackers de dérober toute la base de données d’un casino.
Sécurité « by design » ?
Dans ce contexte, comment sécuriser ces objets ? Aucun individu ne pare d’instinct son assistant vocal de solutions de sécurité complémentaires. Disons-le, la cybersécurité de l’IoT est dépendante d’une part de la gestion des administrateurs (en entreprise, des solutions qui aident à travailler en « bonne entente » avec les équipements IoT existent déjà : contrôle d’accès au réseau, analyses comportementales…), mais également des efforts réalisés par les fabricants dès le stade de l’idéation et de la conception. Une fraction de ces derniers semble encore réfractaire à investir des sommes conséquentes (qui viendraient alourdir la note du consommateur final) pour durcir les systèmes d’exploitation de petits objets construits à bas coûts.
Cependant, plus les scandales de cyberattaques les toucheront, et plus ces derniers seront marquants – imaginons le cas d’une cyberattaque ciblant les perfusions connectées d’une clinique privée, et entraînant des surdosages léthaux – plus les constructeurs élèveront naturellement le niveau de sécurité de leurs objets IoT.
Avec la prolifération des objets connectés et la persistance de leurs vulnérabilités d’usage, le piratage a de beaux jours devant lui… À moins qu’une prise de conscience partagée des entreprises et des individus ne permette à terme de renforcer sensiblement le niveau de sécurité de ces équipements.
___________________
Par Jean-Marc Muselli,
Regional Services Director Southern Europe chez Exclusive Networks