La sécurité des objets connectés

21 Juin 2013

Fin 2011, on a découvert que des pirates chinois avaient entièrement compromis la Chambre de Commerce américaine, en pénétrant dans les réseaux du groupe de lobbying grâce à une chaîne dévastatrice de portes dérobées. Les représentants de la Chambre ont admis que les pirates avaient accédé illégalement à leurs systèmes et qu’ils avaient tout volé, de leurs e-mails à des documents confidentiels de politique de commerce international, en passant par des notes de réunions corporatives. En bref, la Chambre de Commerce avait été la victime d’une attaque APT traditionnelle. La seule raison pour laquelle je me souviens de cette attaque – parmi une série d’attaques similaires – vient de son processus de nettoyage après le piratage, les enquêteurs ont trouvé un thermostat dans un bâtiment du Congrès américain qui communiquait avec une adresse IP située quelque part en Chine.

frigo

Si vous lisez cet article, il est très probable que vous disposez d’un objet connecté à Internet, qu’il aurait été impossible de connecter il y a tout juste cinq ans. Il s’agit de l’essence même des « objets connectés ». Il fut un temps où Internet était seulement un réseau d’ordinateurs et de serveurs. De nos jours, les objets connectés se sont répandus de manière si agressive que je ne suis même plus certains de ce que l’on considère désormais comme un ordinateur. Presque tous nos objets disposent d’adresses IP et d’une connexion Internet : les voitures, les appareils domestiques, les services médicaux, les téléphones, les consoles de jeux vidéo… Google a même créé des lunettes connectées à Internet, et j’ai entendu des rumeurs sur un robinet de bière capable de communiquer sur Twitter !

Imaginez la sécurité des réseaux comme un labyrinthe : plus il y a de sorties et d’entrées, plus il est facile de s’échapper. De la même manière, plus il y a d’appareils connectés sur un réseau, plus il y a d’opportunités pour un pirate qui souhaiterait compromettre le réseau. En bref : chaque appareil représente un éventuel accès au réseau et donc à ses appareils.

C’est un cauchemar auquel les administrateurs systèmes et les équipes de technologie de l’information font face alors que de plus en plus d’entreprises sont obligées d’adopter la politique BYOD (Bring Your Own Device). L’idée de laisser des hordes d’employés – avec leurs connaissances disparates des technologies modernes – connecter une myriade d’appareils différents à un réseaux corporatif est terrifiant, j’en suis certain, mais il s’agit d’une menace intangible pour ceux qui ne travaillent pas dans des bureaux de support technique.

Imaginez la sécurité des réseaux comme un labyrinthe : plus il y a de sorties et d’entrées, plus il est facile de s’échapper.

Avec les objets connectés, il y a bien plus de menaces palpables. Ceux qui créent les systèmes d’exploitation et les logiciels d’Apple, de Google, de Microsoft et tous les autres géants de l’informatique pensent à la sécurité.  Ils sont bien sûr très critiqués pour toutes les vulnérabilités et les exploits qui apparaissent, mais au moins ils pensent à la sécurité.

Néanmoins, je ne suis pas certain que celui qui a conçu la boîte industrielle de contrôle qui régule les produits chimiques de la piscine publique voisine a pensé à la sécurité quand il a connecté cet appareil à Internet afin que les responsables de piscines puissent réguler ces produits à distance. Cette même logique peut être appliquée à une longue liste de machines vulnérables qui ne cesse de s’allonger : il existe des attaques à distance d’exploits qui ciblent des machines médicales, telles que des pacemakers et des pompes d’insuline et même de avions commerciaux.  Tout, des télévisions aux nouveaux mètres intelligents, est potentiellement vulnérable et personne n’a conçu de produits de sécurité pour ces appareils. Un logiciel de sécurité Internet robuste est souvent la seule chose qui sépare mon ordinateur d’une infection de malware. Aucune barrière de la sorte n’existe pour la plupart de ces nouveaux gadgets Internet.

Si vous pensez que nous exagérons, alors renseignez-vous sur le Botnet Carna, qui est aussi appelé « Recensement d’Internet 2012 ». Un chercheur anonyme a réussi à télécharger un code bénin sur près de 420000 appareils qui étaient accessibles en ligne avec des identifiants par défaut. Il aurait très bien plus télécharger un code malveillant sur ces derniers.

La réalité avec cette panoplie d’objets connectés à Internet est qu’il y a bien trop de fabricants qui conçoivent bien trop de systèmes incompatibles et qui sont bien trop payés pour créer des produits qui fonctionnent mais qui ne sont pas nécessairement sécurisés.

La réalité avec cette panoplie d’objets connectés à Internet est qu’il y a bien trop de fabricants qui conçoivent bien trop de systèmes incompatibles et qui sont bien trop payés pour créer des produits qui fonctionnent mais qui ne sont pas nécessairement sécurisés. Si nous prenons l’exemple des États-Unis, la seule manière de sécuriser ces objets serait que le gouvernement américain vote une sorte de loi régulatrice nationale. Malheureusement, une telle loi serait presque impossible à rédiger aux États-Unis, car elle aurait un impact trop considérable sur les grandes entreprises, et elle serait en outre impossible à passer, car le mot « réguler » n’est pas un terme très populaire au sein  des législateurs américains.

Autre exemple, toujours aux États-Unis, la Food and Drug Administration et le département de la sécurité intérieure travaillent ensemble afin que les fabricants d’appareils médicaux prennent la sécurité plus au sérieux. De nouvelles recommandations, directives et autres avertissements ne sont certainement pas la solution à ce problème. Pour le moment, nous devons nous contenter de vivre dans cette insécurité. Le mieux qui vous puissiez faire est de rester conscient de ces menaces et d’être prudent.