+33 (0)1 69 33 05 50

Actualité et agenda de l'AFTI

Sécurité objets connectés

Les failles de sécurité des objets connectés

Les objets connectés sont de plus en plus nombreux chaque jour et ils se retrouvent dans tous les aspects du quotidien : domotique, bien-être et santé, transports, travail. Ces objets produisent une grande quantité de données qui peuvent être stockées sur Internet, sécuriser ces objets devient alors un enjeu de société.

 

Des erreurs industrialisées

Souvent pour des raisons économiques, les industriels ne prennent pas le temps de sécuriser correctement les objets connectés. Mots de passe faibles par défaut du type « 123456 » ou alors pas de mot de passe du tout, mémoire interne quasi inexistante empêchant la mise en place d’un certificat SSL efficace, aucun protocole de chiffrement des données. Cette liste de négligence sécuritaire est très longue, pourtant ce sont des problématiques qu’il serait relativement facile d’éviter. C’est tout un pan de la conception qu’il est urgent de revoir. Le privacy/security by design se doit d’être une priorité.

 

L’effet domino

En effet, des mots de passe identiques sur toute une génération d’objets connectés et c’est la porte ouverte à l’exploitation de telles failles de sécurité par des botnets, dont l’un des plus célèbres est Mirai (1). Ce botnet a marqué l’histoire récente suite à une attaque par déni de service en rendant quasiment inaccessibles durant plusieurs heures les plus grands sites du monde (Twitter, Github, Reddit, etc.) durant le mois d’octobre 2016 (2).
Un mois plus tôt, c’est le mastodonte de l’hébergement français OVH qui a été la cible, selon son fondateur Octave Klaba (3), d’une attaque similaire avec une armée de 145 607 caméras connectées.

À cette situation viennent s’ajouter les failles de sécurité découvertes par reverse enginnering, les failles zéro day, le manque de correctifs de failles connues, le manque de mises à jour de firmwares.

Le manque d’éducation du grand public est aussi à prendre en compte dans ces équations. Par manque de bonnes pratiques, de formation aux nouveaux usages et nouvelles technologies, l’utilisateur lambda ne se rend pas toujours compte qu’il participe activement par son manque de connaissances à apporter encore plus de chaos dans une situation déjà tendue.

Quand on sait qu’à l’horizon de 2020, la prévision table sur environ 50 milliards d’objets connectés à travers le monde (4), au vu de l’état actuel des choses, il y a de quoi avoir froid dans le dos.

 

Et maintenant ?

Heureusement des solutions existent, mais leur mise en application est avant tout politique. La rédaction de lois claires obligeant les industriels à concevoir des objets connectés hautement sécurisés sous peine de sanctions pourrait être une façon de faire.
La mise en application du RGPD en mai 2018 est un premier pas dans ce sens, mais reste largement insuffisante. Ce règlement devrait inclure un volet sécuritaire bien plus avancé, notamment une sensibilisation sur une veille technologique dans ces domaines.

Concernant le grand public, cette formation aux nouvelles pratiques sécuritaires pourrait se faire à travers l’éducation pour les plus jeunes et par la formation continue pour les adultes.

Se rapprocher de l’Owasp (Open Web Application Security Project) (5) et s’informer des failles de sécurité les plus importantes est une bonne alternative.

Le nombre d’objets connectés augmente de façon croissante d’année en année et pourtant rien ou presque n’est fait pour pallier les failles de sécurité les plus élémentaires. Que se passera-t-il lorsque notre dépendance aux réseaux et aux objets connectés sera telle, qu’il sera difficile de s’en passer ? Quelles conséquences pour notre économie lorsqu’à peine 0,2 % des objets connectés détournés de leurs usages premiers provoqueront des attaques mille fois plus puissantes que celle de 2016 ? Les questions restent ouvertes, mais elles ne prédisent rien de bon…