Décryptage

L’IoT est-il sécurisable ?

Posté le 18 décembre 2019
par Pierre Thouverez
dans Innovations sectorielles

Le phénomène IoT va (encore) accélérer sa croissance en 2020. En résulte une quantité de données à traiter et à sécuriser de plus en plus importante. Un sacré casse-tête en perspective, en termes d'infrastructure, mais surtout en ce qui concerne la sécurité.

Les objets connectés seront, dans le monde entier, au nombre de 200 milliards à la fin de l’année prochaine. L’IoT est entré dans la vie de tout un chacun mais aussi dans la vie des usines. Deux usages différents, une même finalité numérique : la génération d’une quantité de données à traiter toujours plus conséquente.

Le premier défi se situe aujourd’hui au niveau des moyens à mettre en oeuvre pour gérer l’explosion des données générées pour assurer le fonctionnement correct de cette armée d’objets qui ne cesse de grossir. Le second défi, peut-être bien plus difficile à appréhender que le premier, concerne la sécurité. A l’heure actuelle, le constat est dramatique.

Sécurité et transparence des données: aucunes assurances

Une étude menée conjointement par la Northeastern University et l’Imperial College London a fait il y a quelque mois grand bruit à ce sujet. Il s’agit de la plus grande enquête menée sur l’IoT, avec près de 35 000 tests réalisés sur 81 objets connectés parmi les plus populaires: TV connectée, enceintes connectées, caméras connectées… Qu’y apprend-on ? Principalement que les données générées par les utilisateurs d’objets connectés sont valorisées (vendues?) à des tiers, le tout sans aucune transparence et sans aucun consentement.

Sur les 81 objets testés, 72 ont établi un contact avec une entreprise autre que le constructeur, à l’insu de l’utilisateur. Image, son, vidéo, autant de données générées sans qu’on sache exactement ce qu’elles deviennent. L’une des caméras connectées étudiée transférait des données vers pas moins de 52 IP différentes !

Mais ce n’est pas tout. Les données transmises sont rarement chiffrées et constituent une proie facile pour les hackers. Et c’est tout le problème avec la multiplication des données inhérentes à l’avènement de l’IoT. Comment sécuriser convenablement ce flux de data ininterrompu ?

Le moteur principal pour la sécurité de l’IoT reste la responsabilité individuelle

Pour le moment il est admis que les systèmes mis en place pour assurer la sécurité de l’IoT ne sont pas calibrés par rapport à la réalité du péril. Si les objets connectés n’ont jamais été considérés comme sûrs, la rapidité de leur déploiement va multiplier les risques.

Concrètement, quels sont ces risques ? Les techniques de piratage très élaborées (comme l’ingénierie inverse de firmware par exemple) sont assez rares, car elles nécessitent des connaissances techniques pointues et beaucoup de temps. La plupart du temps, le risque d’infection d’un objet connecté va être lié à la faiblesse des outils de sécurité mis en place : les mots de passe et les clés de chiffrement. Les techniques de piratage alors mises en place sont relativement basiques, mais ce sont aussi les plus répandues.

Des solutions simples existent. Si elles ne permettent pas de lutter contre des techniques de piratage élaborées, elles gardent une certaine efficacité contre des procédés malveillants moins sophistiqués. Première solution, les changements de mots de passe. Permettre à un utilisateur de modifier régulièrement les mots de passe de ses objets connectés est un moyen très efficace de lutter contre une grande partie des techniques d’infections.

Deuxième axe de prévention, le chiffrement. Pour le moment, les fabricants rechignent à concevoir des objets connectés dotés de mécanismes sécurisés, comme l’est le chiffrement. Le problème pour généraliser le chiffrement, c’est la gestion et la sécurisation des clés de chiffrement, qui devient un véritable casse-tête à partir du moment où le nombre de périphériques augmente trop rapidement. Cerise sur le gâteau, beaucoup d’objet connectés n’ont tout simplement pas les caractéristiques suffisantes afin de permettre le chiffrement de leurs données.

Au final, il fait peu de doutes que la multiplication des objets connectés va engendrer inexorablement une augmentation importante des vols de données. Et la piste la plus sérieuse pour lutter contre ce phénomène reste la responsabilisation des utilisateurs. Et une prise de conscience quant au destin des données qu’ils créent/utilisent, et à leur valeur marchande. Cette prise de conscience se fait encore attendre, en témoignent le succès d’objets connectés comme le Google Home ou le Amazon Echo, dont les failles de sécurité béantes ont été rapidement mises à jour.

Mais l’espoir demeure. On commence par exemple à voir émerger des groupements de consommateurs, inquiets de la sécurité des objets connectés et exigeant la mise en place de standards de sécurité plus importants pour l’IoT.

P.T


Pour aller plus loin