Le Gartner prévoit qu’il y en aura plus de 20 milliards dans le monde d’ici 2020. Ils font de plus en plus partie de notre quotidien. Ce sont les objets connectés.
Et si leur déploiement massif semble aujourd’hui inéluctable, les questions de cybersécurité liées à leur utilisation sont désormais une préoccupation majeure. Des attaques informatiques de grande ampleur ont mis en exergue leurs failles.
Thermostat, télévision lunettes, réfrigérateur… Les objets connectés partageant des informations avec un ordinateur ou une tablette sont non seulement de plus en plus nombreux, mais ils sont également très gourmands en données personnelles.
Cela touche à notre santé, notre localisation, nos activités, etc. Les experts en cybersécurité s’inquiètent des risques de sécurité qu’implique leur multiplication. En 2016, plus de 6 milliards d’objets connectés étaient répartis dans le monde selon le cabinet Gartner.
Des failles de sécurité dès la conception
Plusieurs choses peuvent expliquer l’intérêt des cyberattaquants pour les objets connectés : des failles dès la conception, une protection limitée, un manque de mises à jour, etc.
Selon un rapport du cabinet ForeScout, un hacker peut s’infiltrer dans un objet connecté en moins de trois minutes.
Contrairement aux ordinateurs par exemple, ils ne sont pas toujours protégés par des mots de passe cryptés.
Pour la plupart, ils fonctionnent avec des systèmes qui ne sont pas mis à jour régulièrement, et qui ne sont donc pas préparés pour affronter une éventuelle attaque.
Selon une étude réalisée par Arxan et IBM, 80% des applications IoT ne sont pas testées pour résister à une attaque informatique.
Courant 2016, des attaques en déni de service distribué (DDoS) d’une ampleur inédite ont pu être réalisées grâce à des botnets (réseau de ressources informatiques préalablement corrompues et contrôlées par un ou plusieurs attaquants, pouvant servir à différentes finalités : diffusion de codes malveillants, émission de spams en masse, attaque en déni de service, etc), constitués de dizaines, voire de centaines de milliers d’objets connectés.
Les attaques perpétrées contre l’un des principaux services d’hébergement américain de sites internet, Dyn, ont provoqués l’inaccessibilité de Twitter, Netflix ou encore Amazon.
Les recommandations de la CNIL
Compte tenu du nombre croissant d’objets connectés dans le monde, la CNIL a publié une note invitant à renforcer leur sécurité. Cela passe par des manipulations simples.
La Commission recommande par exemple de protéger par un mot de passe l’écran de déverrouillage de l’appareil utilisé avec l’objet connecté, de penser à effacer ses données lorsque l’on utilise plus un service, de communiquer le minimum d’informations nécessaires au service, ou encore d’utiliser des pseudonymes et des âges factices lorsque l’on met en service un objet connecté.
La CNIL appelle à la vigilance sur les aspects de sécurisation, en particulier pour les objets produisant des données sensibles (données de santé par exemple).
D’après Bruxelles, le raz de marée des objets connectés ne s’est pas fait dans des conditions de sécurité optimale du point de vue informatique.
« Les constructeurs n’y prêtent parfois pas assez attention. Il est pourtant essentiel d’agir dès la conception du produit, a estimé le commissaire européen Andrus Ansip. Il est essentiel d’établir des standards fiables pour avoir la confiance des consommateurs ».
Trouver des solutions adaptées
Il est impératif donc, aujourd’hui, de trouver des réponses aux questions liées à la sécurité des objets connectés.
Pour l’Agence de Sécurité Informatique Européenne (ENISA), cela commence par la mise en place de labels.
Elle a donc décidé de s’associer à plusieurs spécialistes en puces électroniques (Infineon, NXP, STMicroelectronics) pour renforcer la sécurité de l’Internet des objets.
« Aujourd’hui, il n’y a aucun niveau de base, aucun niveau zéro pour la sécurité et la confidentialité des objets connectés », affirme l’Agence.
Mettre en place un label de confiance européen
Pour permettre aux consommateurs de déterminer si les objets sont sécurisés ou pas l’ENISA propose donc de mettre en place « un label de confiance européen » basé sur des mécanismes de certification.
Pour l’agence il est important de prendre en compte les réglementations en vigueur ou à venir comme le RGPD. Il est nécessaire de « couvrir ce qui est essentiel à la confiance, par exemple des règles pour l’authentification ».