Les objets connectés très vulnérables aux attaques informatiques

Les appareils intelligents bénéficient souvent d'une sécurisation des données limitée et sont particulièrement vulnérables aux failles, puisqu'ils utilisent souvent des logiciels libres. Un rapport de Symantec sur la cybersécurité en 2015 met en garde.
Laszlo Perelstein
Un appareil connecté sur cinq transmet en clair les données générées (mails, adresses, noms, mots de passe, etc...) par ses utilisateurs.

L'Internet des vulnérabilités. C'est ainsi que certains experts de cybersécurité surnomment l'Internet des objets, vaste galaxie regroupant aussi bien les bracelets traqueurs de données cardiaques que les lunettes intelligentes ou les stations météo personnelles (comme celle du Français Netamo). De par leur mode de fonctionnement, ces appareils technologiques sont en effet particulièrement sensibles sur plusieurs points et devraient être la cible d'attaques "ponctuelles mais limités", selon les prédictions de sécurité 2015 de l'éditeur de logiciel anti-virus Symantec, publiées lundi 24 novembre

L'ampleur du marché est de taille puisque d'après une étude du cabinet de conseil ABI Research publiée en février 2013, le nombre d'objets connectés vestimentaires (soit seulement les montres, chaussures, etc...) devrait attendre quelque 485 millions d'ici 2018.

L'open-source comme porte d'entrée

Point fort de l'Internet des objets, puisqu'il permet d'utiliser des logiciels libres et ouverts à tous, garantissant de multiples usages, l'open-source est également son maillon faible. Avec la découverte de failles d'ampleur mondiale type Shellshock ou Heartbleed, 2014 a été une année riche en faiblesses.

     | Lire Heartbleed, la faille qui a cassé le cadenas de l'Internet

Et si ces failles, comme des milliers d'autres, ont été corrigées avant qu'elles n'aient été exploitées, une vingtaine chaque année est découverte après qu'un pirate en ait abusé, explique à La Tribune Laurent Heslault, directeur des stratégies de sécurité chez Symantec et auteur de ces prévisions. D'autant plus que "les entreprises n'appliquent pas systématiquement les patchs correctifs appropriés", prévient Symantec dans son rapport.

Faible sécurisation

Interrogé sur la question, Laurent Heslault estime que la dépendance mondiale aux technologies a conduit à la "'cyber-résilience' : on sait que l'on va être attaqué et il faut désormais savoir comment faire pour limiter l'attaque". À ce niveau, les objets connectés souffrent généralement d'une faible sécurisation des données de leurs utilisateurs. Leurs concepteurs privilégient souvent la fenêtre d'opportunité sur le marché au détriment de la sécurité, "parent pauvre puisque ralentissant la commercialisation", de leur appareil.

D'après un rapport de Symantec paru en juillet, près de 20% d'entre eux communiquent en clair (c'est-à-dire sans cryptage) les données générées par leurs utilisateurs (noms, mail mais aussi mots de passe) et les données récoltées (rythme cardiaque, nombre de pas, etc...) sont transmises en moyenne à 5 domaines différents, avec un pic à 14. Il existe même un "Google de la vulnérabilité des objets", alerte Laurent Heslault. Le moteur de recherche Shodan permet en effet de chercher des appareils connectés en fonction de la ville, des coordonnées géographiques, du système d'exploitation et même de l'IP de son utilisateur.

Des attaques passées du virtuel au réel

Pour l'expert de Symantec, il faudra attendre que les attaques soient "plus qu'un simple trait" pour que de vrais mesures de chiffrement soient appliquées. Si la prise de conscience a commencé à se produire, notamment au niveau des instances européennes, ces réactions ont un caractère plus "réactif que proactif". L'Union européenne devrait ainsi adopter d'ici la fin de l'année 2014 de nouvelles règles en matière de protection des données personnelles.

Le déclic pourrait toutefois venir de l'utilisateur qui "aujourd'hui ne se pose pas assez la question de sa propre sécurisation" alors qu'il est le premier concerné, estime Laurent Heslault. Présents dans toutes les sphères de notre société (smart city, objets connectés, open data, etc...), "l'impact de ces objets connectés n'est désormais plus virtuel mais physique".

Laszlo Perelstein

Sujets les + lus

|

Sujets les + commentés

Commentaires 9
à écrit le 30/12/2016 à 13:47
Signaler
Si les objets connectés qui sont sensés nous protéger ne le font pas.Ou va-t-on?

à écrit le 30/12/2016 à 13:44
Signaler
Si les objets connectés qui sont sensé assurés notre protection ne sont pas fiables.Ou va-t-on?

à écrit le 25/11/2014 à 21:05
Signaler
Faut savoir ce qu'on veux, soit c'est plug and play, soit c'est sécurisé et galère à installer... Mais bon que ceux qui ont des caméra wifi lise bien l'article...

à écrit le 25/11/2014 à 15:37
Signaler
letitre de la Tribune : "Les objets connectés très vulnérables aux attaques informatiques" Soyons réalistes, c'est tout le "cloud" qui doit être bani par les entreprises, le "cloud" est une vaste monumentale incommensurable toile pour organiser le ...

à écrit le 25/11/2014 à 15:10
Signaler
l'article montre, au mieux, un manque de recherche sur le sujet, au pire, une incompétence totale sur le sujet : la sécurité et encore plus sur l'open source. L'un n'est pas liée à l'autre. Un logiciel n'est jamais totalement sécurisé. Un logiciel o...

le 26/11/2014 à 10:20
Signaler
On se demande par qui était sponsorisé cet article pour attaquer aussi peu finement l'open source. M.......t ?

à écrit le 25/11/2014 à 14:12
Signaler
Les appareils sont intelligents. Ah bon ! Je constate que c'est l'être humain qui devient de plus en plus crétin.

à écrit le 25/11/2014 à 9:09
Signaler
J'ai l'impression que l'article laisse entendre logiciels open source = open tout court. C'est faux. Logiciels propriétaires et open source tous sont touchés par des vulnérabilités, qui sont corrigées soit pas les salariés de l'entreprise qui possè...

le 25/11/2014 à 21:07
Signaler
Les objets connecté fonctionnent tous avec les ondes soit wifi, soit bluetooth les deux ne sont pas sécurisés... Et en plus en général on veux avoir le retour sur son smartphone via internet. La ce n'est plus un porte ouverte mais une autoroute en op...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.