IOT : Great opportunities, big issues

surveillance-camera-573532_960_720 (1).jpg

L’internet des objets envahit notre environnement immédiat sous toutes ses formes: voitures « autonomes », montres connectées, réfrigérateurs communicants… Ces outils, par le confort qu’ils procurent, deviennent nos appendices numériques. Le développement des objets connectés (IOT pour Internet Of Things) représente un marché gigantesque pour de nombreux acteurs, soit déjà dominants dans le digital (Google, Apple, Tesla…), soit en développement (Naïo, Capturs, Flipr…). Toutefois, le développement rapide et important de ces objets induit d’énormes problèmes de cybersécurité.

Quelques exemples dans l’actualité

La plus connue des failles liée à l’internet des objets, fut un déni de service d’une ampleur exceptionnelle, privant une partie des Etats-Unis de plusieurs services tels que Twitter ou Netflix pendant plusieurs heures (une éternité). Il s’agit de l’attaque DDoss contre DynDNS[i]. DynDNS est une société proposant d’héberger les serveurs DNS de plusieurs sociétés. Les serveurs DNS sont en quelque sorte les facteurs d’internet : ils permettent de lier une suite numérique à un nom de domaine et donc à permettre de trouver le site lorsqu’une requête est lancée. Si le serveur DNS est touché, il est donc compliqué d’afficher les pages demandées. Les attaques contre les serveurs DNS ne sont pas récentes, ce qui est intéressant dans cette attaque, est qu’elle a été initiée principalement par des caméras connectées. L’hébergeur français OVH avait été victime quelques jours auparavant d’une attaque similaire[ii]. Le phénomène est donc installé et il va forcément croître.

Comment est-il possible de transformer des objets en menaces pour internet ?

Il ne s’agit pas de n‘importe quel objet, lais des objets connectés. Des caméras qui vous permettent de contrôler votre maison à distance, votre système domotique qui vous permet d’allumer le chauffage avant d’entrer dans votre maison, votre montre qui vous informe en permanence qrâce à des synchronisations avec votre cloud… Ils sont donc relié à internet, ils ont un micro-processeur, on peut les hacker. Ils sont d’autant plus facilement piratés qu’ils sont faiblement protégés. Le site cybereason a dévoilé avoir découvert deux vulnérabilités zero day qui affecterait des centaines de milliers de caméras[iii]. Une vulnérabilité zero day est une vulnérabilité qui n’a fait l’objet d’aucun correctif, en clair c’est une nouvelle faille utilisée par des hackers sans réponse des sociétés commercialisant ou protégeant les objets. Parmi ces failles, les auteurs du site ont été en capacité d’accéder au mot de passe permettant de contrôler la caméra.

Comment se protéger ?

Pour les particuliers :

Si les caméras sont utilisés pour rejoindre l’armée constituant les botnets à l’origine d’attaques DDoss, elles peuvent être détournées pour d’autres manœuvres plus intrusives ou inquiétantes contre leurs propriétaires. Une bonne protection pour un propriétaire d’objets connectés revient à adopter une attitude vigilante de manière générale. Les règles de base :

  • La plupart des objets demandent un mot de passe. Ne choisissez pas le même mot de passe que pour votre messagerie personnelle ou votre compte en banque
  • Renseignez-vous sur la qualité du produit que vous allez acheter. Y-a-t-il une documentation détaillée vous donnant des garanties quant à la sécurité des données personnelles ? Est-ce un produit ayant déjà fait parler de lui (en bien / en mal)[iv].

Pour les professionnels :

Vous proposez des objets connectés que vous souhaitez mettre à la vente ? On sait que la sécurisation de ce nouvel environnement prendra des années, comme la sécurisation des sites internet a pris des années, avec une accumulation de bonnes pratiques et de retour sur expériences. En attendant, il vous faut protéger les données personnelles de vos clients. Plusieurs pistes sont à méditer :

  • Quelles données personnelles détenons-nous et comment devons-nous les protéger ? Pour savoir au mieux quelles sont les limites dans la collecte des données personnelles, il est fortement recommandé de vous faire conseiller par un juriste spécialiste du domaine. Collecter des informations médicales pendant 10 ans n’est pas la même chose que de tracer les trajets d’un animal de compagnie… et n’impliquera pas la même responsabilité.
  • Pour les attaques de serveurs DNS, il est recommandé d’avoir son propre serveur DNS.
  • Pour les petites structures, tous les serveurs peuvent être loués à d’autres entités. Il est alors recommandé d’utiliser plusieurs fournisseurs de service pour les noms de domaine. C’est l’idée de redondance, ou de manière plus triviale de ne pas « mettre tous ses œufs dans le même panier »[v].

Et sinon, peut-on continuer d’acheter des objets connectés sans risque ?

Cette question reviendrait à se demander si on peut acheter des voitures sans risquer d’avoir un accident. L’achat d’objet correspond à un besoin ou une envie, et les objets connectés sont proposés car ils répondent à ces besoins nouveaux. Il faut donc miser sur une attitude responsable des producteurs et des consommateurs pour améliorer la sécurité des systèmes connectés. A noter que les problèmes d’attaques DDoss par les objets connectés figurent parmi les thèmes principaux développés dans un rapport remis en décembre au président OBAMA[vi].

[i] http://www.zdnet.fr/actualites/dyndns-face-aux-objets-connectes-l-internet-americain-a-tremble-39843692.htm

[ii] http://www.zdnet.fr/actualites/ovh-noye-par-une-attaque-ddos-sans-precedent-39842490.htm

[iii] https://www.cybereason.com/zero-day-exploits-turn-hundreds-of-thousands-of-ip-cameras-into-iot-botnet-slaves/

[iv] https://krebsonsecurity.com/2016/12/researchers-find-fresh-fodder-for-iot-attack-cannons/#more-37183

[v] http://www.zdnet.fr/actualites/attaque-contre-dyndns-ddos-et-iot-comment-se-proteger-reponses-d-experts-39843742.htm

[vi] https://www.nist.gov/sites/default/files/documents/2016/12/02/cybersecurity-commission-report-final-post.pdf

Publicités

Une réflexion sur “IOT : Great opportunities, big issues

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s