La sécurité des objets connectés (IoT)
La démocratisation et la multiplication des objets connectés dans les foyers et les entreprises sont de nouvelles cibles pour les hackers et les personnes malintentionnées. Ces objets font désormais partie intégrante de nos vies ultra-connectées : Les caméras de surveillance, les montres connectées, casques et écouteurs sans fil, smartphones ou encore les voitures connectées.
Mais cette multiplication d’objets connectés fournit aux personnes malintentionnées de nombreuses données privée : santé, localisation, habitudes alimentaires ou de sommeil, appareil photo etc.
État des lieux de la cybermenace de l’écosystème IoT
Par définition, un objet connecté échange des données et des informations sur Internet. Ces données peuvent être récupérées par des pirates et utilisées détournées à des fins malveillantes.
L’actualité et les études récentes à ce sujet le confirment : les objets connectés sont vulnérables et peuvent être piratés. Webcams piratées qui permettent de surveiller des locaux d’entreprise ou d’habitation, piratage d’un stimulateur cardiaque qui enverrait une décharge fatale au patient, vol d’une voiture connectée avec une simple clé de transmission, piratage d’un casino avec un thermomètre connecté dans un aquarium, les exemples sont nombreux et édifiants.
La raison de ces attaques répétées ? Il est désormais facile pour les pirates de trouver des logiciels malveillants en libre-service sur le darknet. Les équipements IoT se caractérisent par des vulnérabilités simples, à la portée de tous les hackers. En effet, que ce soit en compromettant un mot de passe ou en utilisant les identifiants de connexion par défaut, il est facile pour un hacker, équipé d’un malware trouvé sur le darknet, d’infecter des milliers d’objets connectés en quelques secondes. L’un des exemples les plus réussis est le Botnet Mirai, dont le code source a été rendu public, et qui a permis à de nombreux pirates de l’utiliser pour infecter les objets connectés. Des chercheurs de l’université de Princeton estiment que 600 000 objets connectés ont été piratés par le Botnet Mirai, dont des caméras de sécurité et des routeurs domestiques.
L’enjeu de ces attaques contre les objets connectés n’est pas seulement le vol ou la compromission de données. En effet, en piratant de nombreux objets connectés en même temps, le hacker peut surchauffer le réseau électrique et à terme provoquer un black-out dans une ville. Évidemment, il faut suffisamment d’objets piratés, mais le risque est présent et a fait l’objet d’une étude de l’Université de Princeton. Prouver sa véracité.
La situation sécuritaire des objets connectés est alarmante. Il est clair qu’il devient essentiel de mieux sécuriser l’IoT.
Comment mieux sécuriser les objets connectés ?
Différentes solutions existent pour pallier ce problème de sécurité de l’IoT, mais peu sont réellement appliquées par les fabricants. Permettre aux clients de changer les mots de passe standard est une option à considérer. Les fabricants pourraient rendre ce changement de mot de passe obligatoire la première fois que l’objet est connecté. Cette solution limiterait le nombre d’IoT vulnérables avec un mot de passe par défaut.
L’application des principes de sécurité dès la conception peut également être utilisée, notamment en minimisant la surface d’attaque des objets connectés ou en utilisant le principe du moindre privilège.
Le cryptage des données est également une solution. En effet, peu de constructeurs proposent des objets connectés qui intègrent une fonction de sécurité aux données que l’objet collecte et envoie. Le chiffrement est une option efficace mais présente quelques inconvénients : une clé de chiffrement mal configurée et des données chiffrées seront inutilisables.
Il y a donc une marge de manœuvre concernant la sécurité des objets connectés. C’est un enjeu pour les industriels, mais aussi pour les particuliers et les entreprises, qui devront développer leur usage des IoT dans les années à venir.