Atlantico, c'est qui? c'est quoi ?
Vendredi 29 Juillet 2016 | Créer un compte | Connexion
Extra

Alerte sur les objets connectés : les oublis élémentaires concernant leur sécurité risquent de créer un chaos

Les objets connectés se multiplient et sont de plus en plus nombreux. Les voitures, les montres ou les réfrigérateurs fonctionnent avec internet mais aucun effort n'a été réalisé en matière de sécurité. La prise de contrôle de ces objets par des hackers malveillants peut conduire à des conséquences dramatiques. Il faut inverser la tendance en améliorant ces défaillances et en imposant une responsabilité aux fabricants de tels objets.

Attention danger

Publié le
Alerte sur les objets connectés : les oublis élémentaires concernant leur sécurité risquent de créer un chaos

Atlantico : Les objets connectés font de plus en plus partie de notre quotidien qu'il s'agisse de la montre ou du réfrigérateur connecté. En quoi ces objets sont ils susceptibles d'être dangereux selon vous ?

Fabric Epelboin : Comme toute technologie connectée à internet, on peut interagir avec depuis l'extérieur et potentiellement en prendre le contrôle ou en exfiltrer des données. Le premier "danger" que posent les objets connectés, c'est évidemment le risque d'une surveillance accrue de la population, et la plupart des objets connectés sont concernés, qu'il s'agisse de surveillance d'Etat (votre compteur électrique connecté révèle bien des choses sur vous) que de surveillance privée (votre assurance aimerait bien en savoir plus sur votre alimentation via votre frigo et votre santé via votre pèse personne).

Mais cet aspect a été traité en long et en large, je vais plutôt m'attarder ici plus sur les dangers physiques ou juridiques immédiats que sur les dangers politiques.

Car si l'objet peut être en soit dangereux, comme un four ou un chauffe eau, alors un tiers pourrait en prendre le contrôle de façon malintentionné. Regardez par exemple ce que l'on peut faire comme dégâts avec une chauffe eau dont on perturbe délibérément les réglages. Dans cette vidéo, issue de l'émission Mythbusters (diffusée sur RMC Découverte), on a pris le contrôle du thermostat d'un chauffe eau en désactivant ses systèmes de sécurité. Le résultat est édifiant : on peut tout à fait envisager de détruire un immeuble en s'attaquant à un chauffe-eau. Or on est ici dans un cas de figure parfaitement envisageable en termes d'objet connecté. Si le contrôle de chauffes-eau connectés était centralisé, on pourrait réguler de façon très fine la consommation électrique d'un immeuble, voir d'un quartier, faisant baisser de façon significative son pic de consommation, ce qui aurait un effet très positif sur les besoins en terme de production énergétique, et par extension, sur la pollution et les investissements en matière de centrales électriques. Un argumentaire séduisant, mais si l'on passe à coté de la sécurité, les effets secondaires pourraient être dramatiques.

La ville connectée connait le même problème - ce n'est après tout que l'extension des objets connectés à l'espace urbain : la sécurité n'a pas du tout été prise en compte, et on se prépare à une multitude de catastrophes, faute d'avoir investit à temps et en persistant à jouer l’autruche. Moins dramatique, si votre système d'alarme est connecté, alors certaines failles pourraient permettre de le désactiver à distance pour le rendre inopérant. Il en va de même pour votre voiture. Toujours en matière d’automobile, des chercheurs en sécurité informatique on récemment démontré qu'il était possible de perturber la trajectoire d'une automobile connectée. Utilisé de façon malintentionnée, cela permet à quelqu'un de tuer ses occupants très discrètement.

Pourquoi la sécurité de ces objets n'a-t-elle pas été développée ?

Les objets connectés, comme d'ailleurs l'essentiel des technologies que nous utilisons quotidiennement, ne sont pas sécurisés sérieusement pour de multiples raisons. Tout d'abord, la sécurité a un coût, et tant que le danger n'est pas perceptible, personne n'est prêt a payer - je pense qu'au vu la situation actuelle en France, et du dérapage budgétaire annoncé récemment par le gouvernement suite aux attentats du 13 novembre, tout le monde est en mesure désormais de comprendre cela. Nous vivons sur des technologies qui ont ainsi accumulé ces dernières décennies une forme de dette en matière de sécurité, une dette qui s'accumule, car les technologies que nous utilisons sont bien souvent des assemblages de technologies antérieures. Une dette qu'il va nous falloir régler rapidement, ou tout du moins contenir, avant que la situation ne dégénère. C'est une menace assez comparable aux dettes des Etats qu'on laisse filer en remettant à demain la résolution d'un problème qui ne fait que s’aggraver avec le temps. C’est vrai pour les objets connectés, mais c’est bien plus le cas encore pour les systèmes informatiques utilisés par les entreprises, construits par couches successives durant des années, en des temps où la cybercriminalité n’était rien par rapport à ce qu’elle est aujourd’hui. Ces systèmes constituent désormais de véritables chateaux de cartes sur lesquels reposent la vie des entreprises, à la merci d’un cybercriminel ou d’un concurrent malintentionné, avec à leur tête des DSI (Directeur des Services Informatique) et des RSSI (Responsable de la Sécurité des Systèmes d’Information) qui peinent à faire comprendre à leur direction qu’il est urgent d’investir dans quelque chose qui ne peut pas s’apprehender en termes de ROI.

Ensuite, l'adversaire a changé. La cybercriminalité a explosé en France où elle a augmenté en 2015 de 50%. Cela traduit en partie l'extension des conflits dans le monde au cyber, mais également des phénomènes comme le terrorisme,  'hacktivisme politique, ou encore, et c'est bien plus préoccupant, l'industrialisation de la cybercriminalité. Le coût de cette dernière a récemment été évalué par McAfee à 400 milliards de dollars dans le monde, et représente pour les pays développés un montant pouvant atteindre jusqu'à un point de PIB. Face à cela, une sécurité à 80%, qui était tout à fait satisfaisante hier, s'avère aujourd'hui insuffisante, et ce n'est pas avec les méthodes d'hier qu'on va pouvoir s'attaquer aux 20% restants, il va falloir innover, et de façon disruptive. Les objets connectés, de leur coté, sont pour l'essentiel développés par des startups, ou pire encore, par des industriels qui hier encore n'avaient aucun rapport avec internet. Ces entreprises n'ont pas de culture de la sécurité informatique, pour elles, tout cela est une dépense sans ROI, jusqu'à ce qu'une catastrophe survienne, tout du moins. Ajoutez à cela que leur responsabilité pénale n'est pas engagée en cas de problème, et vous faites de l'insécurité informatique une "externalité" d'un point de vue économique http://www.wikiwand.com/fr/Externalité - un problème similaire à ce qu’a pu être la pollution à une époque, où une entreprise qui polluait causait un problème pour la collectivité, et n’avait nullement à en assumer les conséquences.  

On trouve dans beaucoup de ces objets connectés ce qui peut s’apparenter à de la négligence caractérisée - typiquement, bon nombre de box de fournisseurs d'accès à internet, mais également de très nombreux objets technologiques de notre quotidien ont un mot de passe par défaut qui n’a pas été modifié par les fabricants, qui souvent ne font qu’assembler des briques technologiques (car votre box internet, tout comme vos enceintes bluetooth, ne sont guère qu'un assemblage de différents composants technologiques issus de différents fournisseurs, tous comportant leur lots de failles de sécurité). Se connecter à une caméra IP connectée non sécurisée, par exemple, est d'une simplicité désarmante (cliquez ici). Dans ce cas précis, le risque est relativement faible ceci dit, au pire, vous pouvez retrouver des séquences de votre vie privée sur Facebook. Plus gênant, certaines enceintes connectés peuvent être utilisées par mégarde par vos voisins, ce qui s’avère gênant s’ils leur vient à l’idée d’écouter du rock à deux heures du matin alors que vous dormez.  Plus ennuyeux, de nombreux décodeurs satellite sont eux régulièrement piratés pour servir de relais à des attaques informatiques. Là, votre responsabilité pénale peut être engagée, c'est plus problématique.

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par Le gorille - 02/01/2016 - 20:54 - Signaler un abus Mais pourquoi donc connecter ?

    Je suis sidéré de voir l'idée même de contrôler à distance sa propre maison. Si moi je le fais, il me semble qu'avec peu de moyens un autre pourra le faire à ma place. Mais quelle utilité de démarrer tel ou tel équipement à distance, je veux dire par un système lié au réseau numérique ? Il y a un manque de réflexion derrière. Et quant aux voitures... leur électronisation est une vraie catastrophe : au bout d'un certain temps les voyants s'allument. Inutile de réparer : la sécurité ne serait pas engagée, et le coût de la réparation disproportionné... Alors avec les maisons, cela risque d'être pire encore.

  • Par Le gorille - 02/01/2016 - 21:00 - Signaler un abus Le pire ?

    J'ai appris que, en métropole, l'achat de téléphones mobiles s'accompagnerait automatiquement d'un abonnement numérique. Pouvez-vous confirmer ? Ouf ! Mon téléphone n'est pas équipé ! Et ici, je peux continuer à en acheter, des simplex. Cela me conduit à penser que, si l'on n'y met pas le holà, le commerce risque de nous imposer ces "objets connectés", en nous le disant d'abord, puis en ne le disant plus. Et moi qui n'en voudrais pas, comment pourrais-je faire ? Sauf à me faire regarder de travers, il me faudra me tourner vers des pays d'une autre zone...

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio en entier

Je m'abonne
à partir de 4,90€