Internet des objets : Pardonne leur, ils ne savent pas ce qu’ils font

Par
Benoît Dupont
-
0

Partager la publication "Internet des objets : Pardonne leur, ils ne savent pas ce qu’ils font"

On n’en parle pas. Jamais. C’est tabou, parce que ça risque de freiner le rythme exponentiel de croissance du « taux d’équipement », auquel les constructeurs de matériels connectés sont tant attachés, afin de justifier les milliards qui ont été investis en R&D pour vous vendre, à grand renfort de marketing, leur vision du futur : celui des objets connectés.

Dans son minuscule appartement chichement décoré, que l’on imagine faire partie d’un grand ensemble d’habitation dont les pays asiatiques ont le secret, elle attend, devant son ordinateur personnel, que quelqu’un lui fasse un signe sur Facebook. Assise en tailleur dans un fauteuil de bureau en skaï, elle pianote de temps en temps quelques lignes sur le smartphone posé là devant elle, au-dessus d’une pile informe de papiers recouvrant presque intégralement la surface du petit bureau. Elle est plutôt jolie en fait, dans son ensemble noir. Un énorme ventilateur oscillant déglingué fait voler à intervalle régulier quelques mèches de ses longs cheveux de jais. C’est qu’il fait chaud à Hong-Kong, en ce début de soirée d’été. Elle habite avec un grand type qui fait tout le temps la gueule, et qui a malheureusement tendance à préférer la compagnie de sa console de jeu à celle de sa compagne. Alors elle attend stoïquement un contact, une présence, que quelqu’un lui parle, même si c’est purement virtuel…Le monde moderne. 2 300 amis sur Facebook et plus personne à qui parler dans la promiscuité de ce capharnaüm de 15 m2 pour deux personnes. Cette fille, je ne la connais pas. Pourtant, si je le voulais, je pourrais tout connaître de sa vie, de ses amis, de son régime alimentaire jusqu’à la marque de ses sous-vêtements préférés, ses goûts en matière de musique et j’en passe. Cette fille du bout du monde, je l’observe depuis la webcam de sa TV connectée qu’elle laisse tourner en permanence chez elle, ou presque, et qui projette sur son petit deux pièces un éclairage bleu bien blafard qui sied bien au glauque de la situation : Observer l’intimité des gens, à leur insu, via un simple navigateur internet. Effrayant.

hong-kong.jpg

La NSA pour les nuls

Difficile de le croire. Et pourtant, jouer les pervers sur internet ne requiert aucune compétence particulière. On n’a « hacké » personne. On en serait bien incapable d’ailleurs, avouons-le. Simplement, sa webcam est accessible, en clair, à toute personne disposant de son adresse IP. A une époque où tout le monde a les yeux braqués sur les gouvernements, le contrôle d’Internet, la surveillance étatisée par des organismes comme la NSA, celui qui vous observe en vrai, c’est peut-être tout simplement votre voisin de palier, vous savez, celui qui vous regarde avec les yeux qui brille, derrière ses grosses lunettes à la Francis Heaulme, quand il vous croise par inadvertance tous les soirs dans l’escalier trop étroit et mal éclairé de l’immeuble. Certes, il n’est pas évident de connaître les adresses IP des gens, mais pour cela, il y a ShodanHQ.com, un site qui récence les appareils connectés au net de par le monde, et qui sont dépourvus, ou presque, de protection. Lancé par John Matherly en 2009, il avait pour objet de dénoncer les failles des infrastructures connectées et mal protégées, comme les caméras de contrôle routier, ou certaines installations de laboratoire universitaire.

youless.jpg

Si le nom Shodan vous dit quelque chose, c’est sans doute parce que c’est le nom de l’intelligence artificielle machiavélique dans l’univers CyberPunk des jeux vidéo System-Shock. Et on doit bien avouer que l’analogie est plutôt exacte. Avec l’arrivée des objets connectés domestiques, l’ « œuvre » de Matherly a pris une autre tournure, car sur le moteur de recherche, on trouve de tout. Et on a cherché. On a trouvé une foultitude de webcams d’ordinateurs, de TV connectées mais aussi des imprimantes, une centrale téléphonique de bureau, un compteur électrique connecté, etc. Sans grande surprise, ce sont les webcams qui intéressent le plus les utilisateurs de Shodan. Certaines sont laissées en sans protection. D’autres utilisent le nom d’utilisateur et le mot de passe par défaut de l’équipement. On a trouvé pas mal de FTP aussi, auxquels on peut accéder via un login anonyme, idéal pour faire son shopping de films dans la catégorie « tombé du camion numérique ». On peut aussi via le web, accéder à l’état de quelques imprimantes… et on a même pu imprimer, en l’occurrence sur une imprimante de l’ULB (Université Libre de Bruxelles) et un contact sur place a retrouvé notre feuille… dans le bac d’impression du bureau d’un doyen.

imprimante_ULB.jpg

Un problème global

Hong-kong, la Belgique, vous pensez être épargné ? Pas vraiment. Dans le sud de la France, nous sommes tombé sur une caméra de surveillance d’une résidence, à priori là pour éviter les cambriolages, mais qui s’avère finalement bien pratique pour en planifier un. Et demain ? « quantify Yourself ? » Êtes-vous vraiment sûr que c’est bien pour « Yourself » ? On peut bien évidemment faire une confiance aveugle aux constructeurs de matériels. Et c’est probablement ce que pensait notre copine/sujet-d’expérience Hongkongaise en achetant sa TV connectée. Faut-il pour autant partir vivre au fin fond de la forêt ? N’allons pas jusque-là, mais le mieux reste quand même de se renseigner sur la sécurité des objets que l’on achète (voir notre interview), même si c’est anxiogène. Et changez les mots de passe par défaut. Arrêtez d’utiliser votre code de carte bancaire à toutes les sauces. Et implémentez-en si ce n’est pas encore le cas, car non, ce n’est pas superflu et si Shodan démontre bien une chose, c’est qu’il vaut mieux prendre les devants. Sans vouloir spolier qui que ce soit, il y a une série dans laquelle quelqu’un meurt car on a hacké son Pacemaker à distance. A l’époque, j’avais trouvé ça ridicule. Mais maintenant…

france.jpg

creche_taubate_bresil.jpgEre-numérique : On sait que les objets connectés ont le vent en poupe. Est-ce que l’on dispose de statistiques aujourd’hui sur leur sécurité ?

Laurent_Heslault-8548.jpgLaurent Heslault : Effectivement, on suit cela de près. En fait, en R&D on regarde la sécurité des objets connectés depuis bientôt 10 ans. Aujourd’hui, on regarde ce qui se passera d’ici 2020, et on s’intéresse notamment aux imprimantes 3D. On a encore assez peu de retour de terrain pour établir des statistiques concrètes sur les objets connectés, mais selon Cisco, on s’attend à environ 20 milliards d’objets connectés d’ici 2020. C’est peu dire que la sécurité est une préoccupation.

Ere-numérique : Existe-t-il des solutions logicielles pour sécuriser les objets connectés ?

Laurent Heslault : Pas directement. On propose des solutions qui sécurisent la partie applicative, sur smartphone et sur tablette, avec la mise en place, surtout pour les entreprises de signatures d’applications, pour être certain que l’application que l’on installe est bien celle d’origine. Une fois installée, nos solutions embarquées visent à envelopper l’application dans une « bulle », ou un « container » afin d’assurer que les informations traitées par l’application soient sécurisées. Evidemment, ce sont surtout des solutions pour entreprise, plus au fait des problèmes de sécurités que posent les applications mobiles mais à terme, on envisage une solution grand public.

Ere-numérique : que conseillez-vous alors à ceux qui voudraient sécuriser leurs objets connectés ?

Laurent Heslault : D’abord, comparez ! C’est assez effrayant de voir que dans l’achat d’une voiture, la sécurité est un point important, alors que pour un objet connecté, c’est un facteur passé sous silence. Il faut être plus vigilent aussi et ne pas avoir peur de s’intéresser au problème de la sécurité des réseaux. Ensuite, lisez les contrats qui vous lient à cet objet : que fait cet objet ? Que stocke-t-il comme information ? Où les envoie-t-il ? Enfin, assurez-vous que vos matériels sont à jour. Les constructeurs prennent les menaces très au sérieux et publient des mises à jour régulièrement.

Ere-numérique : Finalement, les constructeurs communiquent assez peu sur la sécurité de leurs objets connectés. Pourquoi ? C’est un discours anxiogène ?

Laurent Heslault : Là encore, la comparaison avec l’automobile est intéressante : l’argument de la sécurité est positif pour l’automobile et pas pour l’informatique. Bien sûr, le discours sur la sécurité des réseaux est anxiogène, mais à juste titre, comme le montre l’exemple de Shodan. Pour les constructeurs d’objets connectés, c’est avant tout une question de « time to market ». Il faut être le premier, pour l’instant, et pas forcément le plus sûr. La sécurité et la confidentialité ne sont pas vues comme un avantage pour le consommateur.

Ere-numérique : Et ça changera ?

Laurent Heslault : Je pense que oui. On est une génération qui a laissé beaucoup de sa vie privée en ligne, via les réseaux sociaux. Mais la jeune génération est devenue beaucoup plus soucieuse de confidentialité et il y a des chances que le pendant sécurité de l’utilisation des objets connectés devienne un critère prépondérant.

Noter cet article

0/10

Les Plus

  • Finition superbe
  • Bel écran
  • Bonne Photo

Les Moins

  • Encombrement et poids
  • Pas de capteur Pureview
  • Pas de lecteur micro-SD

Articles similairesPlus d'articles de l'auteur

Laisser un commentaire

Please enter your comment!
Please enter your name here