Les objets connectés (on parle aussi de « l’internet des objets ») sont une des grandes tendances du moment, à tel point que certains parlent même d’une véritable révolution qui pourrait avoir encore plus d’impact que l’arrivée d’Internet, rien que ça ! Il faut dire que cette tendance n’en est qu’à ses débuts, et pourtant on trouve déjà des objets connectés dans de nombreux domaines :
- La santé : balance, bracelet connecté, tensiomètre, … ou même une fourchette connectée !
- Les loisirs : montre, téléviseur, Google Glass…
- La domotique : caméra, alarme, thermostat (le Nest de Google par exemple), ampoule…
Mais qui dit multiplication des objets connectés dit multiplication des données collectées, ce qui génère de nouvelles problématiques autour de la sécurité de ces données. En effet par définition un objet connecté échange des informations, la plupart du temps sur Internet, et parfois par l’intermédiaire d’un Smartphone ou d’un ordinateur. Ces informations peuvent donc être interceptées et/ou détournées, souvent à des fins malveillantes, notamment tout simplement pour en savoir plus sur vous. Par exemple certaines marques paieraient très cher aujourd’hui pour connaître vos habitudes alimentaires, votre localisation, les programmes que vous regardez à la TV, etc.
L’exemple du Quantified Self
Une étude de Symantec très intéressante porte sur les objets de type « capteur d’activité » au sens large, par exemple les bracelets connectés, les Smartphones équipés de capteurs, les balances connectées, … Et ses conclusions font froid dans le dos, même pour des produits commercialisés par des marques ayant pignon sur rue et considérées comme relativement sérieuses.
Voici quelques-uns des résultats de l’étude :
L’ensemble de produits étudiés est vulnérable à la « location tracking », c’est-à-dire qu’un attaquant peut retrouver assez facilement votre géolocalisation. C’est principalement dû à l’utilisation du protocole Bluetooth LE, très répandu sur ce genre de produits car peu consommateur d’énergie mais en général implémenté sans aucune sécurité ou presque. Un simple réseau de capteurs Bluetooth suffit alors pour vous suivre à la trace. C’est aussi valable avec le Wifi, même si iOs 8 apporte une mesure de sécurité complémentaire en rendant aléatoire l’adresse Mac.
20 % des applications transmettent votre mot de passe en clair. Cette statistique est tout aussi inquiétante car la transmission de mots de passe sécurisée n’est pas un sujet récent, pourtant de grosses lacunes existent toujours. Et c’est d’autant plus dangereux que l’on sait que de nombreux utilisateurs utilisent le même mot de passe sur différents services. Comme le souligne le rapport il suffit alors à l’attaquant de s’attaquer à l’objet le plus vulnérable dans l’écosystème d’un utilisateur, ici l’objet connecté, pour récupérer le mot de passe.
54 % des applications ne proposent pas de politique en matière de respect de la vie privée. Ce qui signifie que plus de la moitié des applications étudiées n’indiquent pas à l’utilisateur quelles données sont collectées, à quelle fréquence, où et combien de temps elles sont stockées, si elles sont partagées avec des tiers, etc. Au-delà du fait que c’est contraire à un certain nombre de réglementations (CNIL, etc.) cela signifie que les utilisateurs doivent avoir une confiance aveugle quant au traitement et au stockage de données pourtant assez sensibles.
Ces quelques chiffres montrent que même si les marques s’engouffrent dans cette tendance, elles le font parfois sans trop se préoccuper de la sécurité des données collectées qui sont pourtant nombreuses et pour certaines très sensibles. Nous avons encore peu d’exemples de fuite massive de données, pour ce genre de produit, mais ce n’est malheureusement qu’une question de temps. De plus pour réaliser cette étude les chercheurs de Symantec n’ont pas utilisé un matériel hyper perfectionné, mais un simple Raspberry Pi à 30€ couplé avec un module Bluetooth et une batterie, autrement dit des produits accessibles à tous et très peu coûteux.
Quel avenir pour la sécurité des objets connectés ?
Nous en avions déjà parlé dans notre article sur la Connected Conference, des réflexions sont déjà en cours sur la problématique de la sécurité des données, même si elles n’en sont qu’à leurs balbutiements aujourd’hui. Une standardisation semble difficile étant donné l’hétérogénéité des produits et des technologies, par contre l’interopérabilité sera un des facteurs de succès. On peut par exemple imaginer des API dotées d’un certain nombre de contraintes liées à la sécurité, afin d’obliger ceux qui veulent les utiliser, à respecter ces règles.
Les objets connectés sont encore assez peu présents en entreprise, du moins pour une utilisation professionnelle, mais nul doute que cela évoluera rapidement. Il faudra que les RSSI et autres responsables de la sécurité puissent faire face à ce nouveau défi, notamment pour faire en sorte que les objets connectés ne deviennent pas le maillon faible de la sécurité.
En attendant des évolutions sur ce sujet les fabricants pourraient déjà tout simplement suivre les bonnes pratiques de sécurité déjà en vigueur pour de nombreux systèmes : chiffrement des communications, authentification, protection physique, etc. Ce n’est pas parce qu’il s’agit d’un objet connecté que ces bonnes pratiques ne sont plus valables, au contraire !