Atlantico, c'est qui? c'est quoi ?
Mardi 30 Août 2016 | Créer un compte | Connexion
Extra

Et si les objets connectés étaient la plus grande faille qu’entreprises et particuliers pouvaient offrir aux hackers

Les objets connectés constituent de plus en plus des cibles de choix pour les attaquants potentiels. Ils présentent souvent en effet un niveau de sécurité insuffisant du fait des contraintes propres à leur contexte d'emploi. Focus sur la sécurité des objets connectés à l'occasion du Forum International sur la Cybersécurité (FIC), qui se tient les 25 et 26 janvier à Lille.

Pas si sûr

Publié le - Mis à jour le 26 Janvier 2016
Et si les objets connectés étaient la plus grande faille qu’entreprises et particuliers pouvaient offrir aux hackers

Atlantico : On trouve de plus en plus d'objets connectés sur le marché. De la santé à l'industrie en passant par les wearables, leurs applications sont multiples. Les risques qui y sont associés aussi. Quelles sont les problématiques de cybersécurité que posent les objets connectées ?

Jean-Louis Lanet : Les objets connectés posent plusieurs problèmes de sécurité.

Le premier est d’ordre architectural (la façon dont les objets sont reliés entre eux et envers le monde extérieur).

Bien souvent, les objets connectés le sont via une passerelle par exemple la maison connectée via une box. Dès lors, les attaquants tentent l’intrusion via internet, c’est le modèle classique de l’attaquant que l’on appelle externe. Toutes les vulnérabilités internet se trouvent appliquées à ce modèle avec son cortège d’attaques connues et plus ou bien corrigées.

En plus de ce type d’attaque, on trouve aussi des objets connectés qui peuvent être dans la nature comme des réseaux de capteurs. Dans ce cadre on bascule vers le mode de l’attaquant interne : il a physiquement entre les mains l’objet qu’il attaque. Dans ce cadre, l’internet des objets favorise l’attaquant en augmentant son pouvoir. Le fait de disposer de l’objet permet d’observer plus finement son comportement, le solliciter à volonté voir écouter son comportement via les émissions électromagnétiques. Chaque puce électronique émet des ondes qui reflètent à la fois les programmes qui s’exécutent mais aussi les données manipulées. Leur simple écoute via une sonde permet de retrouver les secrets manipulés par ces objets.

Un autre problème lié aux objets est la fuite d’information personnelle. On a conscience de la perte de données bancaire par exemple. Mais si on considère le niveau de sécurité de mes chaussures connectées on pense qu’il est faible car l’importance de la donnée à protéger est faible (ma foulée, la durée de la course…). Mais un attaquant qui sait agréger des données de différentes sources (capteur de rythme cardiaque,…) peut représenter une vraie menace. Chaque objet individuellement ne présente pas une menace, mais corrélés entres eux on a une intrusion dans notre vie privée. Protéger une donnée de faible importance à un coût et https://ssl.gstatic.com/ui/v1/icons/mail/images/cleardot.gifl’usager ne perçoit pas la possibilité de corrélation.

Quelles sont les pistes évoquées pour remédier aux risques sécuritaires associés aux objets connectés en général ?

La sécurité est une affaire de gestion de risque. Il faut évaluer le coût de la perte du service ou de l’objet. Ensuite les contremesures contre les attaques pourront être établies. Jamais elles ne devront dépasser le coût de la perte. Malheureusement, la sécurité est bien souvent davantage perçue comme un coût et certainement pas comme un service, une valeur ajoutée.

Par exemple, un objet connecté à bas coût déployé sur le terrain peut être sécurisé par un composant durci ou une cryptographie légère adaptée aux capacités de calcul. Une architecture domotique demandera quant à elle un point d’entrée filtrant les entrées, un firewall correctement configuré, des sous-systèmes maintenus, des mots de passe ayant les bonnes caractéristiques. On est très proche des bonnes pratiques des systèmes d’information.  

Les objets de la e-santé (pompes à insulines par exemple) sont potentiellement des objets très sensibles. S’ils deviennent accessibles en dehors de leur environnement sécurisé via une interface web on peut imaginer des scénarios assez négatifs. Là, on se rapproche de la problématique des automates industriels.

Les réponses aux risques dépendent donc forcément du système visé, de la nature de l’architecture, etc.

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Jean-Louis Lanet

Jean-Louis Lanet est directeur de recherche du Laboratoire Haute Sécurité à l'Inria.

Crédits photo : Jean Michel Prima

Voir la bio en entier

Je m'abonne
à partir de 4,90€