Analyse des risques sur les IoT : « Internet of Things »

34 milliards d’appareils connectés en 2020. Bienvenus dans le web 3.0 nommé « Internet Of  Things ». De l’ampoule qui s’allume depuis un smartphone au bracelet qui capte vos  performances physiques, le potentiel des appareils numériques se développe rapidement.  Avec cette évolution des objets connectés, un lot de problématiques apparaît, notamment la volumétrie des données qui augmente de manière exponentielle, l’augmentation du trafic sur les réseaux et bien sûr de nouvelles problématiques de sécurité sur ces petits objets qui nous facilitent le quotidien.

Tous ces objets sont autant de cibles potentielles pour les pirates. Ainsi, dans un article de Misc datant d’Avril 2016, on apprend qu’une multitude de failles sont exploitables. Ces failles vont du firmware qui permet de prendre le contrôle d’un objet connecté, jusqu’à l’exploitation de la mémoire flash qui stockerait des données à caractère privé. On peut aussi noter la vulnérabilité des clouds sur lesquels sont stockées les données provenant de ces objets connectés. Ce qui veut dire qu’en cas de piratage, des millions de données sur notre santé peuvent être piratées. Avec les objets connectés , la surface d’attaque devient donc de plus en plus large.

La dernière attaque en date la plus spectaculaire de type DDoS a été portée contre la Société DynDns par le BotNet Mirai en Octobre dernier. Mirai a utilisé les objets connectés pour  générer de multiples connexions contre ses cibles. Cette attaque a provoqué des difficultés de connexion et des ralentissements sur de nombreux serveurs ayant recours à ces services, notamment Twitter ou SoundCloud. La société aurait subi un flux de données de 1,2 trillions de bits de données par seconde. Pour vous donner une comparaison, la dernière attaque la plus violente par DDoS avait généré un débit de 256 milliards de bits par seconde. Avec Mirai, on a passé un cap important dans la force de frappe des BotNet.

Nous souhaitons à l’heure actuelle que les objets connectés nous donnent de plus en plus d’informations sur nos habitudes de consommation. Ces informations sont des mines d’or  pour ceux qui savent les exploiter. Par exemple : un frigo qui enregistre vos habitudes alimentaires pourra partager ces données avec les sociétés de distribution qui pourront faire plus de publicités ciblées ou les assureurs, qui pourront ajuster les primes d’assurance en fonction du risque évalué par rapport à votre alimentation.

Les enjeux financiers des objets connectés pour l’Europe sont immenses. Cela représente un  volume monétaire qui se chiffre en milliards d’euros. L’Europe tente de concilier un cadre légal pour le développement de ces appareils et leur distribution sur le marché unique (3). En 2016, une commission européenne a estimé que les obstacles au développement des IOTs sur le marché unique seraient la capacité à gérer l’hétérogénéité des objets connectés et le stockage des données. Mais également, le besoin croissant en sécurité des objets connectés pourrait être un frein à leur développement.

On s’interroge de plus en plus sur la sécurité de nos données privées. Les objets connectés  vont faire face à un défi majeur. Aujourd’hui, nous les portons, nous les faisons participer à
l’amélioration de notre qualité de vie dans nos maisons. Il est nécessaire d’inscrire leur développement dans une démarche de sécurisation globale. Nous devons réfléchir à protéger nos maisons numériquement comme nous le faisons physiquement mais aussi nos vies privées. Les serrures de nos portes deviennent de plus en plus robuste alors qu’un pirate peut voir à l’intérieur de nos maisons en se connectant à nos caméras de surveillance. Les mécanismes de protection existent pourtant, chiffrement du contenu à l’aide de clés protégées, et signature des firmwares pour éviter leur altération. La responsabilité des constructeurs devient de plus en plus importante quant à la sécurisation de l’« Internet Of Things ».

(1) Dirk Helbing & Evangelos Pournaras (2015) Share/bookmark Society: Build digital democracy [archive], Nature, 2015-11-02
(2) Misc – Mars Avril 2016 N84, page 12 « Les pentests matériels dans les environnements IOT ».
(3) https://ec.europa.eu/digital-single-market/en/internet-things, « The Internet of Things »

Facebooktwitterlinkedin