Synthèse

1 Introduction

Les objets connectés (IoT, Internet of Things) ont progressivement envahi notre vie quotidienne. Satellites de nos smartphones ou directement connectés à Internet, ils forment une nouvelle galaxie numérique.


Mais sommes-nous certain de bien les connaître et de les maîtriser?

2 IoT définition

Généralement, les objets connectés sont associés aux usages quotidiens du grand public, comme par exemple les smartphones, les bracelets connectés, les montres connectées, l’électroménager etc. Les maisons connectées sont elles aussi au cœur du sujet de l’IoT. Plus communément appelé la domotique, la maison connectée est devenue une réalité dans beaucoup de foyers. L’IoT a également de nos jours une place importante au sein des entreprises. La facilité d’interconnexion, principalement au travers du réseau internet, facilite le développement de projets industriels, médicaux ou ludiques.

Les exemples d’IoT sont multiples, allant de la pompe à insuline connectée jusqu’aux machines- outils présentes au sein d’une usine. Les technologies sous-jacentes varient selon les applications, le débit et la portée requis. Leur usage est devenu d’autant plus commun que l’on parle même maintenant d’IIoT (« Industrial Internet of Things ») ou bien de « l’Industrie 4.0 » pour le secteur industriel. Dans le domaine médical, on y fait référence avec le terme IoMT (« Internet of Medical Things »).

3 IoT avantages

Le monde de l’Internet des objets nous entoure déjà aujourd’hui, mais son évolution est loin d’avoir atteint le plafond.

Les objets connectés nous rendent la vie plus facile et offrent aux entreprises de nouvelles opportunités afin d’améliorer l’expérience client et collaborateurs, mais aussi les processus de production. Certains nous permettent d’améliorer notre qualité de vie, d’autres peuvent nous aider à rester en forme, voire même sauver des vies.

Les IoT sont généralement des :

Nos smartphones et ordinateurs puisent souvent leur intelligence dans des dispositifs « IoT », notamment grâce aux fonctionnalités suivantes :

4 IoT risques

Malgré les bonnes pratiques et recommandations de sécurité mises à disposition par les organismes compétents en matière de sécurité de l’information ou de protection des données personnelles, de nombreux scandales ont éclaté suite à des équipements pas suffisamment protégés ou mal gérés.

4.1 Fuites d’informations

Fuites d’informations par interface non sécurisée

La multiplication des appareils connectés et leur interconnexion croissante génèrent un nombre croissant de données qui sont transmises entre les appareils et ensuite sur Internet. Cela augmente considérablement le risque de voir des failles des sécurités être exploitées. Un système IoT est comme une chaîne dont le niveau de sécurité correspond à la solidité du maillon le plus faible.

Il faut également être méfiant envers certaines interfaces ou technologies, comme le Bluetooth, qui sont également vulnérables de par leur conception. Elles peuvent être compromises aisément, ce qui peut mener à une fuite d’information.

Malheureusement, le risque d’une fuite d’information provient souvent d’une négligence dans l’utilisation de l’objet IoT dans son environnement numérique. Les raisons en peuvent être multiples :

mais le résultat est le même : Une fuite d’information peut mettre en péril des organisations entières ou les vies privées des individus.

4.2 Détournement

Les objets connectés peuvent également faire l’objet d’attaques qui ne les visent pas directement, mais visent à les transformer en « zombies » pour former des réseaux de robots « Botnets » contrôlés à distance. Ces Botnets servent en général à lancer des attaques par déni de service (DDOS – Distributed Denial of Service).

En effet, si l’attaquant arrive à contrôler assez de dispositifs IoT pour former un Botnet, il peut les activer simultanément afin de générer un flux de données artificiel aussi intense que les réseaux sont en surcharge. Il en résulte une non-disponibilité des réseaux ou systèmes d’information, parfois vitaux pour les individus, entreprises ou collectivités.

4.3 Surveillance de masse

L’usage de l’IoT a également des risques qui peuvent être illustrées par l’exemple des caméras embarquées ou de surveillance comme les CCTV (« Closed-circuit television »). Celles-ci peuvent être compromises afin de surveiller des individus ou des lieux dans le but d’utiliser ces images à des fins criminelles (chantage, cambriolage…). Les compromissions ne sont pas le seul cas discutable d’usage de CCTV.

Sur cette base, un gouvernement peu démocratique pourrait développer un réseau de caméras permettant à ses autorités de surveiller la population. Cette pratique peut être couplée à l’utilisation d’outils de traitement de données big data (p.ex. reconnaissance faciale) pour attribuer des notes aux citoyens selon leur comportement.

4.4. Atteinte à la vie privée

Un autre aspect lié à la surveillance peut être l’intrusion de tiers dans la vie privée des citoyens ou employés. L’usage d’objets connectés de plus en plus intrusifs permet de contrôler les individus, que ce soit moyennant l’usage de caméras, de la géolocalisation ou du monitoring des appareils connectés. Certains dirigeants peu scrupuleux peuvent ainsi voir dans cette technologie une possibilité d’accroitre la productivité de leurs employés en appliquant un contrôle constant du lieu de travail.

5 IoT recommandations

5.1 Mot de passe et comptes par défaut

La première précaution à prendre est d’assurer un niveau élevé de complexité des mots de passe. Ceux-ci doivent contenir des majuscules, des minuscules, des chiffres et des caractères spéciaux. Vous pouvez tester la robustesse de votre mot de passe au travers d’outils gratuits tels que https://howsecureismypassword.net/.

Les objets connectés contiennent pour la plupart des comptes par défaut dont les identifiants et mots de passe sont généralement connus et figurent dans les documentations publiques. Il est dès lors très aisé pour un attaquant de tester ces portes d’entrées pour tenter de prendre le contrôle d’un IoT. Dès le premier accès à la configuration du dispositif IoT, il est conseillé de créer ses propres comptes administrateur nominatifs et d’ensuite effacer les comptes par défaut. De cette façon, on se prémunit contre des attaques visant ces cibles faciles.

5.2 Sécurité physique

Afin de comprendre la nécessité de sécuriser physiquement les objets connectés, il suffit de se poser une question. Est-ce que vous laisseriez votre téléphone portable sans surveillance dans la rue? La réponse semble évidente, il semblerait pourtant que ce ne soit malheureusement pas toujours le cas. Il faut donc à la fois protéger ces objets contre le risque de vol, de sabotage ou de compromission par un tiers malveillant.

Soyons clair, ce n’est pas pour sa valeur propre, qu’il faut protéger un objet connecté, mais pour les données qu’il peut contenir et pour l’usage malveillant qu’on pourrait en faire en l’utilisant pour atteindre d’autres cibles. Selon les situations, lorsqu’un objet connecté doit être laissé « en terrain hostile », il faudra s’assurer qu’il ne contienne aucune donnée exploitable et qu’il ne soit pas utilisable par des tiers non autorisés.

5.3 Mises à jour

L’un des problèmes majeurs est un suspect habituel de la cybersécurité : la mise à jour logicielle (« patch »). Il est particulièrement important d’utiliser les patchs fournis par les fournisseurs. Cela est d’autant plus important pour les objets connectés qui sont par définition exposés en permanence à de attaques potentielles.

Au cas où une mise à jour régulière et automatique peut être activée, il est fortement conseillé de l’activer, sous réserve que le protocole soit sécurisé et le site distant digne de confiance. En absence de fonctionnalité de mise à jour automatique, il convient de vérifier manuellement et à fréquence régulière la disponibilité d’une mise à jour logicielle. Ceci permet de minimiser la probabilité de se faire attaquer via des vulnérabilités connues qui peuvent être corrigées par des mises à jour logicielles régulières.

5.4 Acheter de préférence des dispositifs de fabricants reconnus

Afin de réduire les risques, il est conseillé de choisir des produits reconnus issus de fabricants réputés. Ces fabricants ont généralement les moyens d’investir dans le développement de produits de qualité.

5.5 Le réseau

Une fois que l’on a fait son choix pour des produits IoT, il convient de bien les identifier et de savoir quelles sont les propriétés de ces produits que l’on intègre dans son réseau informatique.

En dressant un inventaire de tous les dispositifs connectés et de leurs caractéristiques particulières, on pourra dissocier les activités normales des activités suspectes ou indésirables.

Une surveillance régulière du réseau local (Wi-Fi), des appareils connectés et de leur activité permettra également de détecter d’éventuels problèmes et de fermer des portes lorsqu’elles ne sont plus utilisées.

5.5.1 Segmentation du réseau

Les multiples failles de sécurité de l’IoT ne peuvent pas toujours être contrôlées. Le risque résiduel qu’un potentiel attaquant puisse exploiter une de ces failles et ainsi interférer dans le réseau informatique local reste très élevé.

Au cas où d’autres applications vitales sont hébergées dans ce même réseau interne, il est fortement conseillé de diviser ce réseau en plusieurs segments. Un segment ou réseau logique pourrait alors héberger et/ou interconnecter les IoT tandis qu’un deuxième réseau dissocié servirait exclusivement à l’hébergement des systèmes d’information critiques.

5.5.2 Limitation du nombre de dispositifs IoT dans son réseau

Plus on met de d’objets connectés dans un réseau, plus on introduit de vulnérabilités et failles potentielles de sécurité. Ce risque peut être minimisé en limitant le nombre d’objets connectés au réseau, en limitant les droits d’accès (filtrage) de ces objets au minimum requis pour leur bon fonctionnement et en désactivant les objets qui ne sont momentanément ou définitivement plus utilisés.

5.5.3 Filtrage du réseau

Certains éléments réseaux (routeurs et firewall par exemple) permettent de filtrer les informations qui circulent entre deux réseaux ou segments de réseaux. Le filtrage peut par exemple porter sur les adresses et portes source ou destination, les protocoles de communication, le contenu, la bande passante ou bien le volume des informations.

Dans le cas d’une segmentation de réseau, on pourrait ainsi filtrer les informations échangées entre deux segments et p.ex. n’accepter que les connexions entre dispositifs identifiés et connus au préalable suivant un protocole d’échange bien défini.

5.6 En cas de non-utilisation, désactiver le dispositif (turn-off) ou les

interfaces inutiles

Tout dispositif IoT intégré dans le réseau présente des failles et vulnérabilités potentielles. Un dispositif qui n’est pas utilisé risque en outre d’être oublié dans l’inventaire ou bien dans les mises à jour de sécurité. Par conséquent, il ne faut pas hésiter à désactiver tout dispositif qui n’est pas utilisé.

Par ailleurs, un dispositif IoT peut présenter une variété d’interfaces de communication, dont l’utilisation se définit en fonction du scénario de déploiement. Encore pour limiter son exposition à des vulnérabilités potentielles, il est recommandé de désactiver ou de retirer les types d’interfaces qui ne sont pas nécessaires au bon fonctionnement de l’objet IoT dans son environnement numérique.

5.7 Mise au rebut de dispositifs IoT

En cas de non usage prolongé ou bien en cas d’obsolescence, il convient de sortir les dispositifs IoT du réseau et de les mettre au rebut. Souvent les dispositifs IoT ont une mémoire qui stocke des informations ou bien des configurations qui révèlent des aspects liés à la sécurité de votre réseau. Il ne faut pas oublier de supprimer ces données des appareils.

5.8 Contrats et CGU

Comme pour tout contrat, une lecture attentive s’impose. Les conditions générales d’utilisation (CGU) d’un objet connecté peuvent se révéler longues et complexes mais elles ne sont pas anodines car elles engagent légalement leurs utilisateurs. Il en va de même pour les conditions d’utilisation des services en ligne associés à ces objets.

6 Conclusion

En conclusion, l’IoT et les technologies sous-jacentes constituent un avantage non négligeable pour de nombreux pans de l’économie mais également pour les citoyens. Cependant, il faut rester particulièrement vigilant à la sensibilité des données qui sont collectées, qui transitent et qui sont stockées ainsi qu’à l’impact en cas de vol, de perte ou de manipulation de ces données.

Les objets connectés offrent souvent de nombreuses fonctionnalités paramétrables, ce qui les rend parfois un peu compliqués à maîtriser. Mais ces paramétrages nous offrent également la possibilité de limiter le nombre de données enregistrées ou échangées. Il en va de même pour les services en ligne associés à ces objets. Cela vaut la peine de prendre un peu de temps pour configurer correctement nos objets et leur environnement numérique, afin d’en tirer le meilleur et non le pire.

Autrement dit : éviter que les avantages en termes de confort au quotidien ne se transforment en cauchemar pour notre vie privée et nos libertés.