Le mot « objet connecté » en appelle tout de suite un second, « sécurité ». Avec 100 milliards d’objets connectés et 5 milliards d’utilisateurs sur le marché dans moins de cinq ans, la question de la sécurisation de ces objets, de la montre à la voiture, questionne les spécialistes et le citoyen inquiet au vu des affaires récentes. Pourquoi les fabricants ne sécurisent-ils pas leurs produits ? Eléments de réponse.

Comme de nombreux parents, offrir une mini-tablette éducative à ses enfants est un cadeau presque banal. Avec son stylet, l’enfant pourra s’amuser des heures à lire, calculer, dessiner, retoucher des photos au travers d’applications ludiques. Bref, il pourra faire comme les grands sous le regard attendri de ses parents. Un regard qui a vite changé quand les mêmes parents ont appris que le nom de leur enfant, sa date de naissance, son genre ainsi que son adresse personnelle tout comme le mot de passe et la question de sécurité se retrouvent aspirés du site Vtech avec des centaines de milliers d’autres par des pirates  aux intentions mal connues.

IoT : des tablettes d'enfant piratées

Avec un peu de malchance ces mêmes parents ont pour protéger leur enfant et leur foyer installé une alarme SimpliSafe connectée à Internet. Une alarme qu’un cambrioleur novice peut déconnecter 30 mètres avec un simple logiciel et matériel allant de 20 à 250 euros. Double malchance, la conception de cette alarme interdit tout changement de programme. Les quelque 300 000 unités installées devront être changées.

Des données piratées utiles

Ces exemples récents pourraient être multipliés et les affaires portant sur des failles liées aux objets connectés sont régulièrement relatées par les médias. Parfois, comme dans le cas des alarmes, les dégâts sont mineurs – sauf pour le constructeur obligé de changer ses appareils —, d’autres fois, le préjudice possible est plus inquiétant. Dans le cas des données aspirées de Vtech, on peut se demander à quoi peuvent être utiles les informations recueillies, « Séparément elles sont de peu de valeur, explique Cyrille Barthelemy, CEO d’Intrinsec sécurité, mais imaginez que dans les millions d’enregistrements se trouvent ceux de personnes avec des métiers sensibles, que les informations soient corrélées avec d’autres sources. À l’échelle de millions d’enregistrements, des personnes aux sombres ambitions trouveront toujours des données intéressantes à exploiter. »  Ce qui est vrai pour une tablette, l’est tout autant pour des données physiques récoltées des bracelets connectés et autres applications de « quantified self » stockées quelque part avec une sécurité parfois approximative.

Un problème d’échelle

Ces fuites et exploitations de données sont la conséquence la plus évidente d’attaques liées aux objets connectés. Comme le rappelle Clément Notin, consultant sécurité chez Intrinsec, certains objets ont de vrais effets dans le monde réel, à l’instar des pacemakers aujourd’hui configurables par radio. En cas de défaillance, est-on certain qu’il n’y a eu aucune attaque ? Non. Ce qui pose le problème de fond des objets connectés, « Aujourd’hui en cas d’attaque sur un site web ou d’intrusion par exemple, on peut généralement tirer le fil pour remonter à la source et comprendre ce qu’il s’est passé. Sur les objets connectés, en l’état, c’est impossible. Il n’y aucune trace, aucune méthode par exemple pour détecter les accès illégitimes», rappelle Cyrille Barthélémy qui précise : « La sécurisation ce n’est pas que mettre des barrières, c’est aussi la confidentialité, la disponibilité, l’intégrité, la confidentialité et la traçabilité. Dans l’exemple du pacemaker, au-delà de la protection contre de mauvaises commandes, la question qui se pose en cas d’incident est celle de la méthode à employer pour investiguer et réagir face à des attaques. »

Si les pacemakers sont un exemple extrême, le sujet de fond est celui de l’échelle. Quand des millions d’objets connectés sont potentiellement faillibles, pensons aux futures cartes bancaires, le changement d’échelle pose les questions de la détection de fraude, donc l’analyse des données, et de la  réaction à donner sous une autre perspective. « Les moyens actuels en termes de supervision des parcs d’objets connectés à grande échelle ne permettront pas d’envisager, de comprendre et de contrôler des incidents avec précision : c’est encore un terrain à explorer en matière d’innovation« , rappelle Cyrille Barthelemy.

IoT : une insouciance industrielle calculée

Face à l’accumulation de ces failles, il est légitime de s’étonner. Comment des industriels sérieux peuvent-ils proposer des objets et des systèmes aussi poreux à toute sorte d’attaques ? Deux facteurs principaux, techniques et financiers, posent les pistes d’une explication. Sur le versant technique, une des spécificités de l’IoT (Internet of thing) est celle de la contrainte matérielle et logicielle. Les puces et processeurs embarqués dans ces objets doivent assurer la meilleure performance et autonomie et donc être peu gourmands en énergie. Tout ajout de sécurité consomme de la ressource en calcul et autant d’énergie, diminuant d’autant l’autonomie. Or, un utilisateur jugera d’abord son objet connecté sur la variable plus observable de la consommation.

Un autre facteur réside dans la conception de ces objets. De nombreux constructeurs ne font qu’intégrer des composants matériels et logiciels piochés en divers endroits et chez de multiples fabricants. Le plus souvent, aucune étude de risques n’est réalisée en amont ou en aval, tant sur le matériel que sur les couches logicielles — ce qui en cas de découverte de vulnérabilité pose aussi la question de la traçabilité des produits impactés.

Pour le dire autrement, les constructeurs effectuent un arbitrage entre le bénéfice et le risque. Ils sont nombreux à considérer que peu de personnes ont la capacité technique – et intérêts —, à s’attaquer ce type d’objets. Ce que l’on nomme la sécurité par l’obscurité. Un raisonnement inquiétant au vu de l’actualité et encore plus si l’on en croit Clément Notin pour qui « tous les acteurs qui se positionnent aujourd’hui seront piratés. Et ce pour une simple raison : aucun n’a mis en œuvre nativement de la sécurité dans ses objets. » En attendant un label ou une montée en gamme, l’absence de fiabilité est donc pérenne.

Accepter d’être piraté

Au final, les constructeurs attaqués, à l’image de Vtech, ont sans doute appris de cette leçon et modifié leurs produits. En fait non. Ce qu’ils ont changé ce sont les conditions générales d’utilisation, les fameuses CGU que chacun lit attentivement.

En l’espèce, au paragraphe 7, vous pourrez lire, « Vous avez bien pris connaissance et êtes d’accord que toute information que vous émettrez ou recevrez durant l’utilisation de ce site peut ne pas être sécurisée ou peut être interceptée ou acquise par des tiers non autorisés. ». Ce cas insensé est loin d’être isolé. Sans être paranoïaque, on ne peut qu’accorder du crédit à Vinton Cerf, un des fondateurs de l’internet qui craint « que des milliers de réfrigérateurs connectés se rassemblent pour attaquer la Bank of America (Banque d’Amérique). » Une boutade ?

Fabrice Frossard

Pour aller plus loin : retrouvez l’interview du hacker de Vtech