L'Internet des vulnérabilités. C'est ainsi que certains experts de cybersécurité surnomment l'Internet des objets, vaste galaxie regroupant aussi bien les bracelets traqueurs de données cardiaques que les lunettes intelligentes ou les stations météo personnelles (comme celle du Français Netamo). De par leur mode de fonctionnement, ces appareils technologiques sont en effet particulièrement sensibles sur plusieurs points et devraient être la cible d'attaques "ponctuelles mais limités", selon les prédictions de sécurité 2015 de l'éditeur de logiciel anti-virus Symantec, publiées lundi 24 novembre

L'ampleur du marché est de taille puisque d'après une étude du cabinet de conseil ABI Research publiée en février 2013, le nombre d'objets connectés vestimentaires (soit seulement les montres, chaussures, etc...) devrait attendre quelque 485 millions d'ici 2018.

L'open-source comme porte d'entrée

Point fort de l'Internet des objets, puisqu'il permet d'utiliser des logiciels libres et ouverts à tous, garantissant de multiples usages, l'open-source est également son maillon faible. Avec la découverte de failles d'ampleur mondiale type Shellshock ou Heartbleed, 2014 a été une année riche en faiblesses.

     | Lire Heartbleed, la faille qui a cassé le cadenas de l'Internet

Et si ces failles, comme des milliers d'autres, ont été corrigées avant qu'elles n'aient été exploitées, une vingtaine chaque année est découverte après qu'un pirate en ait abusé, explique à La Tribune Laurent Heslault, directeur des stratégies de sécurité chez Symantec et auteur de ces prévisions. D'autant plus que "les entreprises n'appliquent pas systématiquement les patchs correctifs appropriés", prévient Symantec dans son rapport.

Faible sécurisation

Interrogé sur la question, Laurent Heslault estime que la dépendance mondiale aux technologies a conduit à la "'cyber-résilience' : on sait que l'on va être attaqué et il faut désormais savoir comment faire pour limiter l'attaque". À ce niveau, les objets connectés souffrent généralement d'une faible sécurisation des données de leurs utilisateurs. Leurs concepteurs privilégient souvent la fenêtre d'opportunité sur le marché au détriment de la sécurité, "parent pauvre puisque ralentissant la commercialisation", de leur appareil.

D'après un rapport de Symantec paru en juillet, près de 20% d'entre eux communiquent en clair (c'est-à-dire sans cryptage) les données générées par leurs utilisateurs (noms, mail mais aussi mots de passe) et les données récoltées (rythme cardiaque, nombre de pas, etc...) sont transmises en moyenne à 5 domaines différents, avec un pic à 14. Il existe même un "Google de la vulnérabilité des objets", alerte Laurent Heslault. Le moteur de recherche Shodan permet en effet de chercher des appareils connectés en fonction de la ville, des coordonnées géographiques, du système d'exploitation et même de l'IP de son utilisateur.

Des attaques passées du virtuel au réel

Pour l'expert de Symantec, il faudra attendre que les attaques soient "plus qu'un simple trait" pour que de vrais mesures de chiffrement soient appliquées. Si la prise de conscience a commencé à se produire, notamment au niveau des instances européennes, ces réactions ont un caractère plus "réactif que proactif". L'Union européenne devrait ainsi adopter d'ici la fin de l'année 2014 de nouvelles règles en matière de protection des données personnelles.

Le déclic pourrait toutefois venir de l'utilisateur qui "aujourd'hui ne se pose pas assez la question de sa propre sécurisation" alors qu'il est le premier concerné, estime Laurent Heslault. Présents dans toutes les sphères de notre société (smart city, objets connectés, open data, etc...), "l'impact de ces objets connectés n'est désormais plus virtuel mais physique".