IoT et sécurité : pourquoi tant d’inconscience ?
Comment rester en sécurité dans un monde où «intelligent» est le nouveau paramètre par défaut ? L’IoT fait peur. A commencer par les spécialistes de la sécurité.
«Comment pouvez-vous rester en sécurité dans un monde qui se précipite dans un avenir où le numérique et le physique convergent -et, éventuellement, se heurtent ?» Question gênante des spécialises d’ESET à propos de l’essor de l’IoT.
Dans notre quête de vies plus productives et plus agréables -ou simplement plus faciles-, nous ne pouvons pas éviter de sauter dans le train de l’IoT, l’Internet des objets. Selon la fondation Mozilla, on prévoit que jusqu’à 30 milliards d’appareils seront en ligne d’ici 2020.
Pour être sûr, l’IoT ne concerne pas seulement notre efficacité personnelle ou notre plaisir personnel, ni la classe de produits tels que les montres intelligentes ou les ampoules intelligentes. Encouragé par les innovations en matière de matériel, de réseaux, de gestion de données en nuage, de données volumineuses et d’apprentissage automatique, l’IoT prend également d’assaut de nombreux secteurs.
Tout dispositif ou système connecté à Internet, du plus frivole au plus pratique, a des implications pour la sécurité et la confidentialité. Cela pourrait être moins problématique si l’utilité des appareils ne reposait pas sur notre volonté de partager nos données avec les gadgets -et avec leurs fabricants, voire avec d’autres entités. Dans de nombreux cas, ce partage englobe des données hautement privées qui sont collectées et partagées de manière invisible avec une technologie souvent conçue pour être discrète. Toute cette commodité, conjuguée à la compréhension de notre bien-être et à son bénéfice, constitue néanmoins une autre partie du compromis.
Histoire d’amour ou dépendance ?
«Notre histoire d’amour avec les technologies connectées à Internet -ou leur dépendance à leur égard, c’est selon- a dépassé notre capacité à protéger nos appareils et nos données, souligne l’éditeur spécialisé dans la protection des données. En l’absence de précautions de sécurité appropriées, le réseau en expansion rapide de périphériques, objets, applications et services qui se parlent constamment élargit considérablement notre surface d’attaque, la somme de tous les points d’exposition que des acteurs mal intentionnés peuvent exploiter pour des cyberattaques.» Dans le cas de l’IoT, il est souvent vrai que peu de compétences techniques sont nécessaires pour attaquer les objets intelligents ou les utiliser pour attaquer d’autres appareils. Ajoutez à cela le mélange de données souvent très personnelles collectées par les capteurs de l’appareil, et nous nous préparons à une bière volatile qui promet des maux de tête de la vie privée jamais vus auparavant.
Autre inquiétude propre à l’IoT, la convergence du monde numérique et du monde physique. Passons, ici, les brosses à dents intelligentes et autres gadgets, la vulnérabilité de nombreux types d’appareils IoT peut avoir des conséquences désastreuses sur le monde réel. Songeons seulement aux conséquences d’un usage frauduleux des distributeurs d’insuline et autres stimulateurs cardiaques…
Des failles grandes ouvertes
«Beaucoup de gizmos sont criblés de failles de sécurité ‘prêtes à l’emploi’. Leur micrologiciel, c’est-à-dire le logiciel intégré sur une puce, peut contenir des vulnérabilités anciennes et déjà bien connues au moment ou sur le point de s’apparaître sur le marché, observe ESET. «En outre, même la révision de code la plus exhaustive n’est susceptible de supprimer tous les types de bogues pouvant conduire à des failles de sécurité -en supposant bien entendu qu’une révision de code est entreprise.»
De plus, les mises à jour de sécurité diffusées par voie hertzienne, pas plus que celles diffusées automatiquement, ne sont évidentes avec les appareils IoT. «Cela laisse souvent des brèches grandes ouvertes tout au long de l’utilisation du produit, constate ESET. Même lorsque de telles mises à jour sont publiées, elles sont souvent inaccessibles aux utilisateurs ordinaires, qui peuvent les trouver trop difficiles à installer et ne pas en valoir la peine, ou, peut-être le plus souvent, ne jamais apprendre l’existence de ces correctifs en premier lieu !»
Pis : sur certains appareils, le logiciel ne peut pas du tout être mis à jour. Dans ce cas également, leurs propriétaires ne sont généralement pas au courant des vulnérabilités connues et ne peuvent les résoudre en utilisant d’autres pratiques d’atténuation.
Entre !
Une authentification médiocre, voire inexistante, permettant un accès non autorisé aux systèmes IoT déployés et aux données des utilisateurs est un autre problème récurrent qui affecte l’univers IoT. «Trop souvent, les gadgets ne sont pas sécurisés par défaut. Ils utilisent des informations d’identification publiques, faciles à deviner et même codées en dur qui ne nécessitent souvent qu’une recherche sur Google… Peut-être tout aussi couramment, les utilisateurs s’en tiennent aux paramètres par défaut et ne changent jamais leurs noms d’utilisateur et leurs mots de passe !»
Un exemple frappant a été vu en 2016, lorsque le programme malveillant Mirai Botnet a brutalement forcé l’accès à des dizaines de milliers de périphériques IoT qui s’exécutaient avec des informations d’identification par défaut. Le botnet a ensuite été libéré pour mener une série d’attaques par déni de service (DDoS) distribuées qui ont détruit des milliers de sites Web pour de nombreux internautes, en particulier sur la côte est des États-Unis.
«Les informations privées peuvent également être compromises en raison d’un manque d’authentification lors de l’établissement des communications, ainsi que d’un cryptage de données inexistant entre le périphérique et son concentrateur ou des services hébergés dans le cloud qui reçoivent les données, souligne ESET. Malheureusement, de nombreux périphériques ont des ressources informatiques limitées et ne peuvent même pas utiliser de protocoles de cryptage puissants.»
Le «paradoxe de la vie privée»
Une équipe d’universitaires de l’Université d’Oxford a récemment publié un article intitulé «La vie privée, c’est ennuyeux ! – Perceptions des utilisateurs et comportement dans l’Internet des objets». Et de constater que, si de nombreuses personnes considéraient que les gadgets compatibles IoT étaient inférieurs en termes de familiarité, d’utilisation et de respect de la vie privée des utilisateurs par rapport à des appareils moins nouveaux tels que les ordinateurs portables et les téléphones intelligents, ils continuaient néanmoins à… les acheter !
Surnommé le «paradoxe de la vie privée», cette disparité entre opinions et actions a été attribuée principalement à une sensibilisation moindre à la sécurité. «Mais est-ce vraiment la faute des consommateurs ? Comment savoir si un appareil connecté à Internet partage les données ? Disons tout simplement que l’IoT marque un changement fondamental dans l’interaction entre les utilisateurs et leurs données privées, tente de résumer ESET. Cette modification se traduit par des défis sans précédent en matière de confidentialité, qui sont différents des problèmes de confidentialité des données avec lesquels nous sommes déjà familiers.»
En tout état de cause, concluent les chercheurs d’ESET, le potentiel de l’IoT ne peut être réalisé si les choix des utilisateurs en matière de confidentialité ne sont pas dûment pris en compte. Mais voilà : nous ne pouvons pas nous protéger si nous ne sommes pas conscients des risques inhérents !