IOT; quelles sont les principales failles sécuritaires ?

Grâce à l’évolution du numérique, nous retrouvons dans notre quotidien de plus en plus d’appareils intelligents qui communiquent entre eux. Ils pourraient être au nombre de 20 à 30 milliards d’ici 2020. L’IoT ou Internet des Objets désigne l’ensemble des objets qui récoltent des données et les transmettent à un réseau informatique via le Wi-Fi, Bluetooth, 3G ou 4G (données de vitesse et géolocalisation pour une montre connectée, données de température ou de luminosité pour la domotique etc.).  

L’IoT est aujourd’hui au centre des innovations technologiques. Pratiques, ludiques, utiles (ou non), ces objets sont partout et ont pour but de faciliter notre quotidien.

Au fil du temps et avec les préoccupations communes en termes de cybersécurité, il serait normal de penser que les objets connectés sont de plus en plus sécurisés. C’est malheureusement bien le contraire : le nombre de failles de sécurité de ces appareils a doublé depuis 2013 et selon le cabinet Gartner, 80% des objets connectés en circulation seraient vulnérables.

Pour les cyber-criminels, il suffit malheureusement d’actions basiques et peu coûteuses (par exemple : trouver un mot de passer grâce à une attaque par force brute ou utilisation d’identifiants de connexion standards et non modifiés…) pour compromettre un objet connecté.

En outre, l’une des plus importantes attaques de ces dernières années sur ce sujet était le Botnet Mirai qui a, entre autres, touché les sociétés OVH et Dyn. Ce Botnet a permis de réaliser plus de 15 000 attaques DDoS (attaque par déni de service) massives à l’aide de mots de passe par défaut d’objets connectés (imprimantes, drones, webcams …). Les cyber-attaquants ont donc pris le contrôle et infiltré les systèmes de ces objets.

Quelles sont les risques liés aux objets connectés ?

Utiliser des objets connectés, aujourd’hui, paraît aussi simple que naturel et tout comme les autres appareils numériques, nous sommes habitués à leur sécurité. Or, il existe différents risques liés à l’utilisation de ces objets comme :

•  L’accès non autorisé aux informations stockées ou échangées qui peut compromettre le fonctionnement de l’objet lui-même, avec des conséquences plus ou moins importantes ;
• Une perte de données qui peuvent être confidentielles (par exemple violation de secret industriel) ;
• Un détournement des données qui peuvent porter atteinte à la vie privée (caméra, montre ou enceinte connectée par exemple).

En 2013, l’entreprise de recherche indépendante ISE (Independant Security Evaluators) a publié une étude sur les objets connectés et leur vulnérabilité. Cette étude à mis en lumière un peu plus de 52 vulnérabilités trouvées sur 13 routeurs sans fil (domestique) et appareils NAS (périphériques de stockages). Afin de voir l’évolution de ces dernières, l’enquête a été de nouveau menée en 2019. Les chercheurs en ont découvert plus du double.

Il est en effet irréaliste de penser qu’un objet connecté peut être totalement sécurisé mais le problème majeur est que de nombreux fabricants n’intègrent pas cette phase de sécurité dans le développement du produit.

Security et Privacy by design : la sécurité dès la conception de l’objet connecté.

La sécurité des objets connectés se réfléchit et se détermine dès la phrase de fabrication de l’objet. La notion de Security by design va dans ce sens. Il prône l’intégration des enjeux de sécurité dès la conception de ce dernier. Le constructeur se doit alors d’identifier toutes les vulnérabilités de l’objet afin de pouvoir les éradiquer.

La notion de Privacy by design, renvoi quant à elle, à la protection des données personnelles des utilisateurs.

Dans le meilleur des cas, ces deux notions devraient être pensées et mise en place sur tous les objets connectés avant leur mise à disposition sur le marché.

La Commission Européenne souhaite aller dans ce sens et augmenter la sécurité des objets connectés grâce à une certification qui leur sera dédiée : « Il s’agit d’une avancée importante puisque c’est la première législation relative au marché intérieur qui relève le défi de renforcer la sécurité des produits connectés, des appareils de l’internet des objets et des infrastructures critiques au moyen de ces certificats ».

Ainsi, une liste de produits qui devront bénéficier de cette certification sera communiquée en 2023 : une belle avancée pour des objets connectés sécurisés !