Les objects connectés

Les objets connectés (IoT, Internet of Things) ont progressivement envahi notre vie quotidienne. Satellites de nos smartphones ou directement connectés à Internet, ils forment une nouvelle galaxie numérique. Et la taille de cette galaxie ne cesse de croitre : on estime que d’ici 2025, pas moins de 150 milliards d’objets connectés peupleront le monde.

L’IoT regroupe l’ensemble des capteurs et objets reliés à internet, permettent ainsi notamment un contrôle à distance de notre environnement physique. Ils sont présents aussi bien auprès du grand public, avec notamment la domotique, l’électroménager, ou encore les bracelets et montres connectées, que dans le dans les domaines de la santé ou de l’industrie (industrie 4.0).

Cette nouvelle réalité donne naissance à des risques particuliers. Ces interconnexions toujours plus nombreuses sont autant de failles de sécurité potentielles, et les grandes quantités de données traitées et stockées dans le Cloud sont une cible pour certains malfaiteurs.

En vous aidant à mieux comprendre les objets connectés et les implications de leur utilisation, ce site vous aidera en tirer le meilleur… Et à éviter le pire.

Comment se protéger

Mot de passe

0000 c’est nul comme mot de passe

Mot de passe

La première précaution à prendre est d'assurer un niveau élevé de complexité des mots de passe. Ceux-ci doivent contenir des majuscules, des minuscules, des chiffres et des caractères spéciaux. Vous pouvez tester la robustesse de votre mot de passe au travers d'outils gratuits tels que https://howsecureismypassword.net/. Les objets connectés contiennent pour la plupart des comptes par défaut dont les identifiants et mots de passe sont généralement connus et figurent dans les documentations publiques. Il est dès lors très aisé pour un attaquant de tester ces portes d’entrées pour tenter de prendre le contrôle d’un IoT. Dès le premier accès à la configuration du dispositif IoT, il est conseillé de créer ses propres comptes administrateur nominatifs et d’ensuite effacer les comptes par défaut. De cette façon, on se prémunit contre des attaques visant ces cibles faciles

Sécurité physique

Libérez votre esprit, pas vos objets….

Sécurité physique

Afin de comprendre la nécessité de sécuriser physiquement les objets connectés, il suffit de se poser une question. Est-ce que vous laisseriez votre téléphone portable sans surveillance dans la rue ? La réponse semble évidente, il semblerait pourtant que ce ne soit malheureusement pas toujours le cas. Il faut donc à la fois protéger ces objets contre le risque de vol, de sabotage ou de compromission par un tiers malveillant. Soyons clair, ce n’est pas pour sa valeur propre, qu’il faut protéger un objet connecté, mais pour les données qu’il peut contenir et pour l’usage malveillant qu’on pourrait en faire en l’utilisant pour atteindre d’autres cibles. Selon les situations, lorsqu’un objet connecté doit être laissé « en terrain hostile », il faudra s’assurer qu’il ne contienne aucune donnée exploitable et qu’il ne soit pas utilisable par des tiers non autorisés.

Mises à jour

Patch, Patch, Patch…

Mises à jour

L'un des problèmes majeurs est un suspect habituel de la cybersécurité : la mise à jour logicielle (« patch »). Il est particulièrement important d'utiliser les patchs fournis par les fournisseurs. Cela est d'autant plus important pour les objets connectés qui sont par définition exposés en permanence à de attaques potentielles. Au cas où une mise à jour régulière et automatique peut être activée, il est fortement conseillé de l’activer, sous réserve que le protocole soit sécurisé et le site distant digne de confiance. En absence de fonctionnalité de mise à jour automatique, il convient de vérifier manuellement et à fréquence régulière la disponibilité d’une mise à jour logicielle. Ceci permet de minimiser la probabilité de se faire attaquer via des vulnérabilités connues qui peuvent être corrigées par des mises à jour logicielles régulières.

Fabricants reconnus

« Clever Akafen »

Fabricants reconnus

Afin de réduire les risques, il est conseillé de choisir des produits reconnus issus de fabricants réputés. Ces fabricants ont généralement les moyens d’investir dans le développement de produits de qualité.

Réseau

Fermez la porte d’entrée...

Réseau

Géneral

Une fois que l’on a fait son choix pour des produits IoT, il convient de bien les identifier et de savoir quelles sont les propriétés de ces produits que l’on intègre dans son réseau informatique. En dressant un inventaire de tous les dispositifs connectés et de leurs caractéristiques particulières, on pourra dissocier les activités normales des activités suspectes ou indésirables. Une surveillance régulière du réseau local (Wi-Fi), des appareils connectés et de leur activité permettra également de détecter d’éventuels problèmes et de fermer des portes lorsqu’elles ne sont plus utilisées.

Segmentation du réseau

Les multiples failles de sécurité de l’IoT ne peuvent pas toujours être contrôlées. Le risque résiduel qu’un potentiel attaquant puisse exploiter une de ces failles et ainsi interférer dans le réseau informatique local reste très élevé. Au cas où d’autres applications vitales sont hébergées dans ce même réseau interne, il est fortement conseillé de diviser ce réseau en plusieurs segments. Un segment ou réseau logique pourrait alors héberger et/ou interconnecter les IoT tandis qu’un deuxième réseau dissocié servirait exclusivement à l’hébergement des systèmes d’information critiques.

Filtrage du réseau

Certains éléments réseaux (routeurs et firewall par exemple) permettent de filtrer les informations qui circulent entre deux réseaux ou segments de réseaux. Le filtrage peut par exemple porter sur les adresses et portes source ou destination, les protocoles de communication, le contenu, la bande passante ou bien le volume des informations. Dans le cas d’une segmentation de réseau, on pourrait ainsi filtrer les informations échangées entre deux segments et p.ex. n’accepter que les connexions entre dispositifs identifiés et connus au préalable suivant un protocole d’échange bien défini.

Désactivation du dispositif

Car un oubli peut devenir une faille..

Désactivation du dispositif

Tout dispositif IoT intégré dans le réseau présente des failles et vulnérabilités potentielles. Un dispositif qui n’est pas utilisé risque en outre d’être oublié dans l’inventaire ou bien dans les mises à jour de sécurité. Par conséquent, il ne faut pas hésiter à désactiver tout dispositif qui n’est pas utilisé. Par ailleurs, un dispositif IoT peut présenter une variété d’interfaces de communication, dont l’utilisation se définit en fonction du scénario de déploiement. Encore pour limiter son exposition à des vulnérabilités potentielles, il est recommandé de désactiver ou de retirer les types d’interfaces qui ne sont pas nécessaires au bon fonctionnement de l’objet IoT dans son environnement numérique.

Mise au rebut

Car tout a une fin...

Mise au rebut

En cas de non usage prolongé ou bien en cas d’obsolescence, il convient de sortir les dispositifs IoT du réseau et de les mettre au rebut. Souvent les dispositifs IoT ont une mémoire qui stocke des informations ou bien des configurations qui révèlent des aspects liés à la sécurité de votre réseau. Il ne faut pas oublier de supprimer ces données des appareils.

Contrat

Dura lex sed lex…

Contrat

Comme pour tout contrat, une lecture attentive s’impose. Les conditions générales d’utilisation (CGU) d’un objet connecté peuvent se révéler longues et complexes mais elles ne sont pas anodines car elles engagent légalement leurs utilisateurs. Il en va de même pour les conditions d’utilisation des services en ligne associés à ces objets.

Géneral

Segmentation du réseau

Filtrage du réseau

Protégez-vous. Sécurisez votre appareil connecté.

Conseils pour une utilisation plus sécurisée des objets connectés.

Smart Phone

Smart Office

Smart Home

Smart Wearables

Smart Toys

Les objects connectés

Les Risques

Fuite d'informations

Fuite d'informations

Détournement

Détournement

Surveillance de masse

Surveillance de masse

Tracking

Tracking

Comment se protéger

Mot de passe

Mot de passe

Sécurité physique

Sécurité physique

Mises à jour

Mises à jour

Fabricants reconnus

Fabricants reconnus

Réseau

Réseau

Désactivation du dispositif

Désactivation du dispositif

Mise au rebut

Mise au rebut

Contrat

Contrat

Matériel de campagne