Internet des objets : de nombreuses failles

« Faites vos jeux, rien ne va plus ». Fréquemment annoncée dans les casinos de Las Vegas, cette expression peut aussi s’appliquer à l’Internet des Objets ! Réunis dans cette ville chaque été, des hackers (trop souvent confondus avec les pirates) s’en sont donné à cœur joie. Les meilleurs d’entre eux ont animé des conférences à la

DEF CON, la convention hacker la plus connue à travers le monde. Et cette édition a confirmé que les fabricants d’objets connectés ne se soucient pas vraiment de la sécurité de leur solution. Leur priorité étant l’ergonomie ou la fonctionnalité.

Presque 50 failles ont été découvertes ou présentées lors de conférences ou d’ateliers. Elles concernent 23 appareils proposés par 21 marques. Au total, en deux ans, l’IoT Village de la DEF CON a mis en lumière 113 vulnérabilités.

Bonnet d’âne aux serrures et cadenas connectés. Les modèles de Quicklock, iBlulock, Plantraco, Ceomate, Elecycle, Vians, Lagute, Okidokeys ou Danalock comportent tous des failles. Officiellement, elles vous permettent d’ouvrir vos portes sans utiliser de clé physique. Par le biais d’un protocole de communication (Bluetooth, Wi-Fi…), elles se déverrouillent à l’aide d’un simple smartphone. Dans la réalité, leur niveau de sécurité étant tellement faible, voire absent, elles peuvent être aisément piratées et facilitées ainsi des cambriolages !

Comment les hackers ont-ils procédé ? Le chercheur qui s’est attaqué à la serrure d’August (modèle ASL-01) a démontré qu’il était possible de modifier un accès « invité en un compte « administrateur » et gérer le cylindre au détriment de son propriétaire qui ne peut plus entrer chez lui. Pire, si vous achetez un modèle d’occasion,  le précédent propriétaire peut savoir où vous habitez et prendre le contrôle de votre domicile à distance. Heureusement pour nous, ce cylindre connecté n’est pas compatible avec la plupart des serrures françaises, et ne répond pas non plus aux normes européennes.

Même constat inquiétant avec les thermostats. Andrew Tierney et Ken Munro, deux chercheurs travaillant pour la société de sécurité informatique Pen Partners Test, ont démontré qu’il était possible de configurer les paramètres par le biais d’une carte SD. Imaginez ce thermostat réglé sur 35 °C en pleine canicule ! De quoi avoir des sueurs froides d’autant que l’action des hackers a été facilitée par le fait que l’appareil n’intègre aucun contrôle de sécurité. Seul bémol, il faut avoir un accès physique pour l’infecter.

Toutes ces failles s’expliquent principalement par une mauvaise implémentation de solutions de protection, mais surtout par une sécurité très faible, voire inexistante. Et cette situation n’est pas propre aux fabricants étrangers.

Début 2016, lors d’une intervention au FIC (Forum International de la Cybercriminalité à Lille), Renaud Lifchitz, consultant en sécurité informatique chez Digital Security (Econocom), et auteur de nombreux travaux sur les protocoles d’authentification, avait démontré qu’une serrure connectée d’une marque française était facile à pirater. Différentes erreurs très importantes avaient été constatées parmi lesquelles un code source entièrement accessible et une clé de chiffrement, annoncée en 256 bits, mais en réalité de 14 bits (un vulgaire code PIN). Selon cet expert, le nombre de possibilités pour trouver ce code PIN est estimé à environ 10 000. Autant dire, l’affaire de quelques secondes/minutes.

Ce même chercheur avait repéré des vulnérabilités dans les réseaux M2M du marché, et notamment dans celui de Sigfox.

Il faut malgré tout rester optimiste. « Chaque nouvelle vague technologique apporte son lot de vulnérabilités. Il a fallu des décennies pour sécuriser les transports ferroviaires, aériens et automobiles. La ceinture de sécurité, inventée à la fin du 19e siècle, n’est devenue obligatoire en France qu’en 1973. Dans le numérique, ces cycles innovation-sécurisation se sont accélérés. La micro-informatique a vu très rapidement naitre le business des antivirus », a rappelé Olivier Oezratty lors de la Conférence Cybersécurité – IOT et Systèmes Embarqués organisée à Toulouse le 18 février 2016.

Par Philippe Richard