Les objets connectés très vulnérables aux attaques informatiques

 |   |  615  mots
Un appareil connecté sur cinq transmet en clair les données générées (mails, adresses, noms, mots de passe, etc...) par ses utilisateurs.
Un appareil connecté sur cinq transmet en clair les données générées (mails, adresses, noms, mots de passe, etc...) par ses utilisateurs. (Crédits : Flickr/Perspecsys Photos. CC License by.)
Les appareils intelligents bénéficient souvent d'une sécurisation des données limitée et sont particulièrement vulnérables aux failles, puisqu'ils utilisent souvent des logiciels libres. Un rapport de Symantec sur la cybersécurité en 2015 met en garde.

L'Internet des vulnérabilités. C'est ainsi que certains experts de cybersécurité surnomment l'Internet des objets, vaste galaxie regroupant aussi bien les bracelets traqueurs de données cardiaques que les lunettes intelligentes ou les stations météo personnelles (comme celle du Français Netamo). De par leur mode de fonctionnement, ces appareils technologiques sont en effet particulièrement sensibles sur plusieurs points et devraient être la cible d'attaques "ponctuelles mais limités", selon les prédictions de sécurité 2015 de l'éditeur de logiciel anti-virus Symantec, publiées lundi 24 novembre

L'ampleur du marché est de taille puisque d'après une étude du cabinet de conseil ABI Research publiée en février 2013, le nombre d'objets connectés vestimentaires (soit seulement les montres, chaussures, etc...) devrait attendre quelque 485 millions d'ici 2018.

L'open-source comme porte d'entrée

Point fort de l'Internet des objets, puisqu'il permet d'utiliser des logiciels libres et ouverts à tous, garantissant de multiples usages, l'open-source est également son maillon faible. Avec la découverte de failles d'ampleur mondiale type Shellshock ou Heartbleed, 2014 a été une année riche en faiblesses.

     | Lire Heartbleed, la faille qui a cassé le cadenas de l'Internet

Et si ces failles, comme des milliers d'autres, ont été corrigées avant qu'elles n'aient été exploitées, une vingtaine chaque année est découverte après qu'un pirate en ait abusé, explique à La Tribune Laurent Heslault, directeur des stratégies de sécurité chez Symantec et auteur de ces prévisions. D'autant plus que "les entreprises n'appliquent pas systématiquement les patchs correctifs appropriés", prévient Symantec dans son rapport.

Faible sécurisation

Interrogé sur la question, Laurent Heslault estime que la dépendance mondiale aux technologies a conduit à la "'cyber-résilience' : on sait que l'on va être attaqué et il faut désormais savoir comment faire pour limiter l'attaque". À ce niveau, les objets connectés souffrent généralement d'une faible sécurisation des données de leurs utilisateurs. Leurs concepteurs privilégient souvent la fenêtre d'opportunité sur le marché au détriment de la sécurité, "parent pauvre puisque ralentissant la commercialisation", de leur appareil.

D'après un rapport de Symantec paru en juillet, près de 20% d'entre eux communiquent en clair (c'est-à-dire sans cryptage) les données générées par leurs utilisateurs (noms, mail mais aussi mots de passe) et les données récoltées (rythme cardiaque, nombre de pas, etc...) sont transmises en moyenne à 5 domaines différents, avec un pic à 14. Il existe même un "Google de la vulnérabilité des objets", alerte Laurent Heslault. Le moteur de recherche Shodan permet en effet de chercher des appareils connectés en fonction de la ville, des coordonnées géographiques, du système d'exploitation et même de l'IP de son utilisateur.

Des attaques passées du virtuel au réel

Pour l'expert de Symantec, il faudra attendre que les attaques soient "plus qu'un simple trait" pour que de vrais mesures de chiffrement soient appliquées. Si la prise de conscience a commencé à se produire, notamment au niveau des instances européennes, ces réactions ont un caractère plus "réactif que proactif". L'Union européenne devrait ainsi adopter d'ici la fin de l'année 2014 de nouvelles règles en matière de protection des données personnelles.

Le déclic pourrait toutefois venir de l'utilisateur qui "aujourd'hui ne se pose pas assez la question de sa propre sécurisation" alors qu'il est le premier concerné, estime Laurent Heslault. Présents dans toutes les sphères de notre société (smart city, objets connectés, open data, etc...), "l'impact de ces objets connectés n'est désormais plus virtuel mais physique".

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 25/11/2014 à 21:05 :
Faut savoir ce qu'on veux, soit c'est plug and play, soit c'est sécurisé et galère à installer... Mais bon que ceux qui ont des caméra wifi lise bien l'article...
a écrit le 25/11/2014 à 15:37 :
letitre de la Tribune : "Les objets connectés très vulnérables aux attaques informatiques"
Soyons réalistes,
c'est tout le "cloud" qui doit être bani par les entreprises, le "cloud" est une vaste monumentale incommensurable toile pour organiser le piratage industriel à l'échelle planétaire,
de surcroît,
il n'y aura jamais aucune possibilité de poursuivre qui que ce soit et jamais la possibilité matérielle d'apporter la moindre preuve que cesoit lorsque les entreprises seront victimes de piratage.
a écrit le 25/11/2014 à 15:10 :
l'article montre, au mieux, un manque de recherche sur le sujet, au pire, une incompétence totale sur le sujet : la sécurité et encore plus sur l'open source. L'un n'est pas liée à l'autre.
Un logiciel n'est jamais totalement sécurisé. Un logiciel open source, grâce à son ouverture et sa communauté à une capacité de correction beaucoup plus réactive et efficace par essence qu'un logiciel propriétaire.
Si l'utilisation de ceux-ci, comme du propriétaire d'ailleurs, n'est pas encadré par un minimum de méthodologie de sécurité, il est clair que l'on se dirige vers un grand n'importe quoi.
Mais comme la cible ressemble plus à des pigeons à plumer rapidement, qu'à des clients, on n'est pas sortie de l'auberge....
Réponse de le 26/11/2014 à 10:20 :
On se demande par qui était sponsorisé cet article pour attaquer aussi peu finement l'open source. M.......t ?
a écrit le 25/11/2014 à 14:12 :
Les appareils sont intelligents. Ah bon !
Je constate que c'est l'être humain qui devient de plus en plus crétin.
a écrit le 25/11/2014 à 9:09 :
J'ai l'impression que l'article laisse entendre logiciels open source = open tout court.
C'est faux. Logiciels propriétaires et open source tous sont touchés par des vulnérabilités, qui sont corrigées soit pas les salariés de l'entreprise qui possède le logiciel propriétaire soit pas la communauté, qui est à la fois importante et issue de nombreuses entreprises. Dans le cas d'un logiciel open source, le code est accessible à tous, et toute personne ayant les compétences peut proposer des améliorations. La vraie question est comment le concepteur du matériel connecté paramètre ses logiciels, quels logiciels il utilise, etc
Par exemple chez Linux (Ubuntu par ex) c'est open source, super sécurisé, simple et fiable à tel point que c'est utilisé sur la majorités des serveurs crytiques (banques, e-commerce, etc)
Réponse de le 25/11/2014 à 21:07 :
Les objets connecté fonctionnent tous avec les ondes soit wifi, soit bluetooth les deux ne sont pas sécurisés... Et en plus en général on veux avoir le retour sur son smartphone via internet. La ce n'est plus un porte ouverte mais une autoroute en open...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :