Les objets connectés seront, dans le monde entier, au nombre de 200 milliards à la fin de l’année prochaine. L’IoT est entré dans la vie de tout un chacun mais aussi dans la vie des usines. Deux usages différents, une même finalité numérique : la génération d’une quantité de données à traiter toujours plus conséquente.
Le premier défi se situe aujourd’hui au niveau des moyens à mettre en oeuvre pour gérer l’explosion des données générées pour assurer le fonctionnement correct de cette armée d’objets qui ne cesse de grossir. Le second défi, peut-être bien plus difficile à appréhender que le premier, concerne la sécurité. A l’heure actuelle, le constat est dramatique.
Sécurité et transparence des données: aucunes assurances
Une étude menée conjointement par la Northeastern University et l’Imperial College London a fait il y a quelque mois grand bruit à ce sujet. Il s’agit de la plus grande enquête menée sur l’IoT, avec près de 35 000 tests réalisés sur 81 objets connectés parmi les plus populaires: TV connectée, enceintes connectées, caméras connectées… Qu’y apprend-on ? Principalement que les données générées par les utilisateurs d’objets connectés sont valorisées (vendues?) à des tiers, le tout sans aucune transparence et sans aucun consentement.
Sur les 81 objets testés, 72 ont établi un contact avec une entreprise autre que le constructeur, à l’insu de l’utilisateur. Image, son, vidéo, autant de données générées sans qu’on sache exactement ce qu’elles deviennent. L’une des caméras connectées étudiée transférait des données vers pas moins de 52 IP différentes !
Mais ce n’est pas tout. Les données transmises sont rarement chiffrées et constituent une proie facile pour les hackers. Et c’est tout le problème avec la multiplication des données inhérentes à l’avènement de l’IoT. Comment sécuriser convenablement ce flux de data ininterrompu ?
Le moteur principal pour la sécurité de l’IoT reste la responsabilité individuelle
Pour le moment il est admis que les systèmes mis en place pour assurer la sécurité de l’IoT ne sont pas calibrés par rapport à la réalité du péril. Si les objets connectés n’ont jamais été considérés comme sûrs, la rapidité de leur déploiement va multiplier les risques.
Concrètement, quels sont ces risques ? Les techniques de piratage très élaborées (comme l’ingénierie inverse de firmware par exemple) sont assez rares, car elles nécessitent des connaissances techniques pointues et beaucoup de temps. La plupart du temps, le risque d’infection d’un objet connecté va être lié à la faiblesse des outils de sécurité mis en place : les mots de passe et les clés de chiffrement. Les techniques de piratage alors mises en place sont relativement basiques, mais ce sont aussi les plus répandues.
Des solutions simples existent. Si elles ne permettent pas de lutter contre des techniques de piratage élaborées, elles gardent une certaine efficacité contre des procédés malveillants moins sophistiqués. Première solution, les changements de mots de passe. Permettre à un utilisateur de modifier régulièrement les mots de passe de ses objets connectés est un moyen très efficace de lutter contre une grande partie des techniques d’infections.
Deuxième axe de prévention, le chiffrement. Pour le moment, les fabricants rechignent à concevoir des objets connectés dotés de mécanismes sécurisés, comme l’est le chiffrement. Le problème pour généraliser le chiffrement, c’est la gestion et la sécurisation des clés de chiffrement, qui devient un véritable casse-tête à partir du moment où le nombre de périphériques augmente trop rapidement. Cerise sur le gâteau, beaucoup d’objet connectés n’ont tout simplement pas les caractéristiques suffisantes afin de permettre le chiffrement de leurs données.
Au final, il fait peu de doutes que la multiplication des objets connectés va engendrer inexorablement une augmentation importante des vols de données. Et la piste la plus sérieuse pour lutter contre ce phénomène reste la responsabilisation des utilisateurs. Et une prise de conscience quant au destin des données qu’ils créent/utilisent, et à leur valeur marchande. Cette prise de conscience se fait encore attendre, en témoignent le succès d’objets connectés comme le Google Home ou le Amazon Echo, dont les failles de sécurité béantes ont été rapidement mises à jour.
Mais l’espoir demeure. On commence par exemple à voir émerger des groupements de consommateurs, inquiets de la sécurité des objets connectés et exigeant la mise en place de standards de sécurité plus importants pour l’IoT.
P.T
Cet article se trouve dans le dossier :
2020 : objectif transition numérique pour les entreprises
- 2020, année du big data pour les entreprises françaises ?
- L'IoT est-il sécurisable ?
- Starlink: un accès internet par satellite accessible partout dès 2020 ?
- Des choix de société se dessinent autour des usages liés à la reconnaissance faciale
- Le volume de données ne cesse d’augmenter, les fuites aussi !
- Anonymisation des données, une nécessité à l’ère du RGPD
- Bilan 2019 : les 4 temps forts de l’actualité scientifique et technique
- Le Grand jeu concours 2019 de Techniques de l'Ingénieur
- Sécurité d’approvisionnement horizon 2025 : une valse à trois temps
- Les émissions mondiales de CO2 ont encore augmenté en 2019
- La 5G présente-t-elle des risques pour la santé ?
- «Il n’est pas certain que la France et l'Europe aient accès aux technologies quantiques si elles ne les développent pas elles-mêmes»
- Polybiom lance son plastique de miscanthus 100% biosourcé
- Vers la bioimpression de tissus fonctionnels
- Le numérique au service de Notre-Dame
- Le casse-tête juridique de la propriété spatiale
Dans l'actualité
- La blockchain à la rescousse de l’IoT
- Smart City : comment sécuriser les entreprises connectées ?
- Techniques de l’Ingénieur partenaire de IoT World +MtoM Embedded
- Techniques de l’Ingénieur participe à IoT World 2021 et MtoM Embedded
- Techniques de l’Ingénieur partenaire de IoT World +MtoM Embedded 2022
Dans les ressources documentaires