David Knight, responsable de la sécurité informatique chez Proofpoint, explique que les attaquants ont mis en place un réseau de type botnet, un phénomène que l'on rencontre plus souvent sur les ordinateurs, où des appareils sont piratés à l'insu de l'utilisateur pour envoyer des spams ou héberger du contenu pornographique illicite. Il s'attend à voir se multiplier ce qu'il appelle des « objets-bots » à mesure que les objets connectés se multiplient dans les foyers, d'autant plus que la sécurité de nombre d'entre eux se limite à une simple interface web invitant à créer un nom d'utilisateur et un mot de passe.
« Quel que soit le système de sécurité en place, il était insuffisant », déclare Knight, qui soupçonne que les appareils ont été compromis simplement en exploitant des vulnérabilités connues de Linux.
Les pirates informatiques ont semé la pagaille sur les ordinateurs via Internet, provoquant des fuites de données et des pannes système. Avec la tendance actuelle à connecter tous les objets, des casseroles aux ampoules connectées, les risques sont encore plus importants et plus personnels. Les logiciels antivirus protègent les PC, mais on ne peut pas simplement installer un logiciel de bureau sur un grille-pain intelligent. Par conséquent, les appareils domestiques connectés nécessitent généralement une connexion Internet et la création d'un identifiant et d'un mot de passe pour être protégés.
Plusieurs entreprises de haute technologie et organisations professionnelles affirment que les appareils « intelligents » arrivent en magasin avec une protection de sécurité insuffisante. Les experts en sécurité pointent du doigt plusieurs facteurs : les jeunes entreprises, pressées de livrer leurs produits au plus vite, pourraient négliger la sécurité, tandis que les entreprises établies, habituées à fonctionner sans connectivité, comme les fabricants d’équipements audio ou de téléviseurs, pourraient tout simplement ne pas se rendre compte de la nécessité de se protéger contre les menaces liées aux appareils connectés à Internet.
« Ils ne sont pas stupides », explique Marc Rogers, chercheur principal en sécurité chez Lookout, une entreprise spécialisée dans la sécurité mobile. « Ils n'y ont simplement jamais été confrontés auparavant. ».
Ainsi, tandis que les entreprises déploient toutes sortes de produits, des ampoules « intelligentes » et des serrures de porte contrôlées par smartphone aux toilettes connectées et aux tensiomètres, un mouvement est également en cours pour rendre ces produits aussi sûrs que possible.
Pour Rogers, de Lookout, cela implique de pirater et parfois même de démonter physiquement des appareils connectés à Internet afin d'en déceler les failles de sécurité. L'été dernier, Rogers et son équipe ont découvert une vulnérabilité dans les Google Glass, le casque de réalité augmentée de Google. Plus récemment, Rogers s'est consacré à l'identification et à la comparaison des mesures de sécurité des caméras et des systèmes de divertissement connectés à Internet.
« En gros, je casse des choses, puis je travaille dessus : qu'est-ce qui est bien fait ? Qu'est-ce qui est mal fait ? Quelles leçons pouvons-nous en tirer ? », explique-t-il.
À l'instar de nombreuses entreprises technologiques, Lookout constate l'influence croissante des objets connectés à Internet – un secteur en pleine expansion, à tel point que Google a annoncé la semaine dernière son intention de débourser 3,2 milliards de dollars pour acquérir Nest Labs, fabricant de thermostats intelligents et de détecteurs de fumée. L'année dernière, on comptait plus de 10 milliards d'objets connectés, et ce nombre devrait atteindre 50 milliards d'ici 2020, selon les estimations du fabricant d'équipements réseau Cisco.
Soucieux de minimiser les risques de sécurité liés à cette croissance exponentielle, Rogers élabore un ensemble de normes de sécurité que les entreprises pourront suivre lors du développement de produits connectés. Il refuse de préciser le contenu de ces normes pour l'Internet des objets, mais indique privilégier « les normes les plus abouties pour Internet » et s'appuyer sur la liste des « 10 principaux risques » de l'Open Web Application Security Project, car celle-ci recense de nombreux types de risques susceptibles d'affecter tous types d'appareils connectés à Internet.
« Pour l'instant, je pense que chacun fait un peu ce qu'il veut, mais une voix de plus en plus forte dit : "Rassemblons-nous tous, essayons de nous synchroniser sur ce point" », dit-il.
L'AllSeen Alliance, un groupe industriel de l'Internet des objets formé en décembre pour promouvoir l'interopérabilité entre les appareils connectés, quel que soit leur fabricant, estime que les logiciels libres en cours de développement pourraient également apporter leur contribution.
Le logiciel du groupe sera basé sur AllJoyn, le logiciel open source de Qualcomm dédié à l'Internet des objets (IoT). Ce logiciel est développé par le fabricant de puces pour smartphones (et membre du groupe). Liat Ben-Zur, président de l'Alliance AllJoyn et responsable de l'unité AllJoyn de Qualcomm, explique qu'AllJoyn permet aux développeurs d'applications de choisir le niveau de sécurité à intégrer à leurs applications ; par exemple, chiffrer ou non les données transférées d'une brosse à dents connectée vers l'application smartphone correspondante. AllJoyn offre également des options de sécurité plus nuancées, précise-t-il, comme la possibilité pour un ami de passage de contrôler la climatisation de votre domicile, mais uniquement dans une certaine plage de températures et pendant les deux jours de son séjour.
Des méthodes d'octroi d'accès temporaire apparaissent déjà dans certaines serrures connectées non encore commercialisées – parmi les rares objets connectés qui tentent de mettre en avant leurs atouts en matière de sécurité – comme Goji, qui permet de définir des plages horaires pendant lesquelles des amis peuvent entrer chez vous via leur téléphone. Pour l'instant, cependant, cela reste marginal.
Une idée similaire à celle décrite par Ben-Zur est explorée chez Mocana, une entreprise spécialisée dans la sécurité mobile et l'Internet des objets. Mocana travaille sur une sorte de matrice numérique de noms de code appelée AtoM (pour « application à machine ») qui, selon son directeur technique James Blaisdell, permettra à différents utilisateurs de gérer et de contrôler des dispositifs de sécurité à grande échelle, avec des niveaux d'autorisation variables.
L'entreprise prévoit de lancer le système plus tard cette année. Dans un premier temps, il sera destiné aux applications industrielles, explique Blaisdell, permettant par exemple à un fabricant d'éoliennes de suivre la maintenance de ses installations et à un fournisseur d'électricité de connaître sa production d'énergie. Il sera probablement aussi utilisé pour d'autres applications, comme les appareils électroménagers.
« C’est le même genre de question : comment connecter tous ces appareils de manière sécurisée et leur permettre d’interagir entre eux en toute sécurité ? », demande-t-il.
Même si un appareil comme une chaîne hi-fi ou une cafetière connectée a été piraté, il peut être plus difficile de s'en apercevoir que pour un ordinateur portable ou un smartphone. Ces appareils sont souvent dépourvus d'affichage, et s'ils sont victimes d'une attaque similaire à celle observée sur Proofpoint, ils pourraient ne présenter aucun signe de dysfonctionnement.
Dans certains cas, la solution la plus simple consiste donc à limiter le nombre d'appareils pouvant se connecter à Internet. Le logiciel AllJoyn, développé par l'AllSeen Alliance, permet notamment aux appareils connectés de communiquer uniquement avec d'autres appareils du domicile (par exemple, un groupe d'ampoules ou une serrure connectée) et les empêche de se connecter à Internet au-delà. Pour certains accros à la connectivité, cela peut paraître contraignant, mais Ben-Zur y voit un moyen de renforcer la sécurité et la confidentialité des appareils.
« Je ne souhaite pas forcément un service cloud qui sache à chaque fois que j'entre et que je sors de chez moi », explique Ben-Zur.
Source : Rachel Metz, MIT.
