Internet des objets : une sécurité négligée

Bref, demain, tous les domaines d’activité ou presque seront connectés : la santé, l’habitat, l’automobile, l’assurance… Cette évolution soulève de nombreuses questions concernant la croissance économique et les mutations sociales, mais aussi les libertés individuelles et la souveraineté nationale.

Mais la sécurité de ces milliards de connexions par lesquelles vont transiter d’énormes flux de données n’est pas encore prise en compte par de nombreux fabricants.

Une aubaine pour les pirates qui peuvent dès maintenant s’engouffrer dans de nombreuses failles non corrigées ou mal protégées. Généralement, ces vulnérabilités ne sont pas connues des industriels eux-mêmes, trop focalisés sur l’ergonomie et la facilité d’usage ! Rien de surprenant en réalité. La majorité des nouveaux objets connectés présents en entreprise et chez les particuliers sont développés par des constructeurs non spécialistes des problèmes de sécurité informatique.

Or, la facilité d’usage (le créneau est de limiter au maximum les manipulations) est incompatible avec une sécurité cohérente. Résultat, 90% des réseaux informatiques auront subi au moins une brèche liée à l’Internet des Objets si l’on en croit une étude d’IDC.

La situation pourrait devenir catastrophique pour des entreprises. « Si le système d’information de l’entreprise est attaqué, tous les objets connectés sont paralysés : portes, caméras, ordinateurs, imprimantes… En effet, l’indisponibilité des données et des services ainsi que la perte définitive des données sont les principales conséquences de ce manque de protection. Ceci engendre inévitablement un risque économique (perte d’exploitation liée à l’indisponibilité d’un site web marchand par un déni de service le rendant inaccessible). Au-delà de cela, un piratage nuit fortement à l’image de l’entreprise », explique Hervé Dhelin, directeur marketing d’EfficientIP, une société française fondée en 1997 par des Ingénieurs spécialisés dans les services réseaux.

Mais la voiture connectée représente l’exemple type de la sécurité bâclée. Les modèles récents présentent de nombreuses failles qui démontrent que les constructeurs mondiaux n’ont pas du tout intégré cette problématique.
Principalement utilisées par les garagistes pour établir un diagnostic complet et rapide de l’état du véhicule, les entrées diagnostic restent accessibles à n’importe qui. Or, elles peuvent parfois contenir des informations critiques pour l’utilisateur.

Comme pour les réseaux industriels, les voitures connectées intègrent des capteurs développés à une époque où l’on n’évoquait même pas la sécurité. C’est le cas du CANBus (Controller Area Network), Bus CAN en français. Ce bus série est utilisé majoritairement dans les systèmes automobiles depuis son apparition dans les années 80. Or, les constructeurs se servent du flux utilisé par le CANBus pour échanger des informations (l’allumage/extinction des phares, l’ouverture automatique des portes, le déclenchement des airbags..). Autant de données en accès libre…

Même un banal lecteur de CD peut être une faille pour pirater un véhicule. En 2011 des chercheurs des universités de Californie et de San Diego ont réussi à pénétrer le système électronique d’une voiture par son lecteur CD3. Ceux-ci ont injecté du code malicieux dans le fichier audio contenu sur le disque.

Enfin, la sécurité informatique concerne aussi la protection des données personnelles.
Là aussi, il y a de grosses lacunes. Une équipe de chercheurs français a en effet constaté que certains nouveaux objets connectés récupéraient des informations personnelles (sur la configuration d’une habitation par exemple), à l’insu de leurs propriétaires pour les envoyer vers des serveurs à l’étranger.
Dans quels buts ?

Par Philippe Richard