Objets connectés

Contenu

Le terme objets connectés me semble plus approprié que l‘internet des objets, qui prend les choses dans le mauvais sens en partant d’internet pour arriver aux objets, et qui est également trop limitatif car le vrai enjeu n’est pas tant d’être sur internet que d’être relié à d’autres objets.

Le ‘S’ dans IOT c’est pour « Sécurité ».
Blague anonyme

Les objets connectés existent depuis longtemps, sur l’échelle de temps informatique. Un ordinateur ou un serveur informatique étant des objets, il y a belle lurette que la connexion est faite. Le vrai changement est qu’en suivant la vague de miniaturisation et de banalisation des composants informatiques, on peut désormais coller partout ces composants, jusque dans votre pacemaker¹², permettant notamment des fonctions évoluées mais aussi de la communication avec d’autres objets, sur internet ou pas.

Cela concourt selon moi à rendre ces objets menaçants, car comme souvent toujours en informatique, la sécurité n’a été abordée qu’après coup, car le bénéfice immédiat (réel) a souvent coupé court à toute autre réflexion.

Marchera pas

Difficile de penser qu’on arrivera facilement à un niveau de sécurité acceptable dans le monde des objets connectés, car la multiplicité des acteurs³ et leur féroce concurrence commerciale, le manque de culture sécurité et le coût nécessaires à cette sécurisation sont des freins puissants sur le chemin de cet objectif. Quant aux mauvaises habitudes, elles perdurent et les mots de passe par défaut continueront à nous jouer des tours, jusqu’à transformer un aspirateur⁴⁵ en espion (puisque les aspirateurs automatiques ont des caméras pour se diriger).

Innovons

Que n’ai-je entendu que j’étais un râleur patenté, un pessimiste né, un rétrograde primaire, tout ça parce que je pestais (et peste encore) contre l’innovation bête et stupide, ainsi que sa glorification béate (toute comme pour les start-up) sans prise de conscience de l’ensemble des enjeux liés à ladite innovation.

Aspirateurs connectés

A partir du moment où votre aspirateur⁵ devient un objet connecté, attendez vous au pire. Toute caméra peut devenir un espion potentiel. Donc tout objet connecté, même anodin, peut recueillir (et donc transmettre) plein d’informations vous concernant, et à l’ère du big data, l’utilisation qu’on peut en faire est quasiment infinie.

Des chercheurs ont même réussi à transformer un aspirateur-robot en centre d’écoute : ils ont détourné l’usage du « lidar » (le radar dont se sert le robot pour se déplacer) pour capter les vibrations sonores sur les surfaces rencontrées⁶, et en déduire les conversations. Seul élément rassurant : vous parlez beaucoup, quand l’aspirateur marche ?

Avions connectés

Cela fait beaucoup moins rire de parler du danger des connexions dans les avions que pour les réfrigérateurs : autant un frigo qui envoie du spam ou qui commande une pizza, cela prête à sourire, autant la perspective d’un avion qui s’écrase fait froid dans le dos. Or dans objets connectés il y a aussi avions connectés. Et le département de la sécurité intérieure aux Etats-Unis nous dit que ce n’est qu’une question de temps⁷ avant qu’un avion ne soit piraté, avec les conséquences catastrophiques que l’on peut imaginer. Ils ont réussi à la faire avec un Boeing 737, on peut voir une analyse de risque ici.

Voitures et deux-roues connectés

Entre les scooters électriques (ou les vélos) en libre-service qu’il faut suivre pour leur entretien, ou les voitures se conduisant toutes seules, les interactions informatiques sont forcément très nombreuses. Donc récolte de données à gogo⁸ et réutilisation par toujours contrôlée, surtout en cas de faille.

Un autre exemple ? Volontiers : les trottinettes Xiami M365 peuvent être (au moins partiellement) contrôlées par un pirate⁹, qui peut agir sur le freinage ou l’accélération avec les conséquences qu’on peut imaginer.

N’importe quoi connecté

Parfois on trouve des failles non seulement dans les objets connectés, mais aussi dans les centrales électroniques censées les contrôler. En gros, si par extraordinaire vous utilisez un objet connecté non troué (= non vulnérable), alors il faudra vérifier que votre hub¹⁰ soit également bien protégé.

Menaces

DDoS et Botnets

Puisqu’il est si facile de prendre le contrôle d’un grand nombre de machines informatiques reliées à internet, les objets connectés sont tout naturellement d’excellents candidats pour construire un réseau de machines zombies (botnet). Et les méchants ne s’en privent pas. Les objets connectés piratables, zombifiables et contrôlables à souhait sont du pain béni pour les attaques de type DDoS (déni de service) ; Mirai en a été le premier exemple marquant.

Conséquences juridiques

Les conséquences juridiques sont difficiles à appréhender à l’émergence d’une nouvelle technologie (ou de son expansion). Or, tout comme la sécurité, les aspects juridiques sont trop souvent négligés¹¹, et ça n’est qu’au moment d’une catastrophe, d’une attaque ou d’un litige qu’on se rend compte qu’on ne maîtrise ni la situation technique ni les conséquences juridiques (et judiciaires) de cette technologie.

En 2019 : rien de nouveau

Étonnamment, malgré des alertes renouvelées et argumentées, malgré des compromissions, les fabricants d’objets connectés continuent leur déni¹² et la situation ne s’améliore absolument pas. En cause, toujours les mêmes facteurs :

La course au prix le plus bas (la sécurité étant vue comme source de surcoût initial) ;
La course à la part de marché et le time-to-market : faut être le premier, et pas le meilleur. Or la sécurité demande de réfléchir, donc du temps que les industriels ne se donnent pas.

En 2020 : rien de nouveau

Une étude de Palo Alto Networks¹³ enfonce le clou : sur le million d’objets connectés étudiés, 98% des flux réseaux circulent en clair, avec les risques de fuite d’information et de détournement associés, 57% sont vulnérables à des attaques ayant des impacts moyens ou élevés, dans l’industrie et les milieux hospitaliers, les objets vulnérables sont sur les mêmes VLAN que les dispositifs traditionnels, les mots de passe sont majoritairement faibles voire encore triviaux, etc.

The Internet of Things is a security nightmare reveals latest real-world analysis: unencrypted traffic, network crossover, vulnerable OSes
Sources
theregister.co.uk

Une autre étude de Zscaler¹⁴ est moins pessimiste, mais pas plus rassurante pour autant : seules 17% des « transactions » sont chiffrées. Cela s’explique probablement par un panel d’étude différent, avec d’autres usages et donc d’autres types de machines, mais ça reste pas beaucoup…

Sources

Voir aussi

Références

↑ (en) David Nield, « A Scary Vulnerability to Hackers Is Affecting at Least 456,000 Pacemakers in The US » sur ScienceAlert (consulté le 05/04/2018)

↑ (en) Dan Goodin, « 465k patients told to visit doctor to patch critical pacemaker vulnerability » sur Ars Technica, 30/08/2017 (consulté le 05/04/2018)

↑ (en) « When it comes to IoT Security, Liability is muddled » sur ThreatPost, 19/06/2018

↑ (en) « IoT Robot Vacuum Vulnerabilities Let Hackers Spy on Victims » sur ThreatPost, 19/07/2018

↑ ^{a b} (en) « Positive Technologies experts discover dangerous vulnerabilities in robotic vacuum cleaners » sur Positive Technologies, 19/07/2018 (consulté le 28/07/2018)

↑ Jonathan Chadwick, « Researchers hack a robotic vacuum cleaner to record speech remotely » sur Mail Online, 18/11/2020 (consulté le 20/11/2020)

↑ (en) « US Government Probes Airplane Vulnerabilities, Says Airline Hack Is ‘Only a Matter of Time’ » sur motherboard.vice.com, 06/06/2018

↑ (EN) « Electric Scooters Are Racing to Collect Your Data » sur ACLU of Northern CA, 25/07/2018 (consulté le 02/08/2018)

↑ (fr) Bastien Contreras, « La trottinette Xiaomi M365 peut être piratée pour accélérer ou freiner subitement » sur Clubic.com, (consulté le 13/03/2019)

↑ Edmund Brumaghin, « Vulnerability Spotlight: Multiple Vulnerabilities in Samsung SmartThings Hub » sur blog.talosintelligence.com (consulté le 02/08/2018)

↑ (en) Lindsey O'Donnell, « Black Hat 2018: IoT Security Issues Will Lead to Legal ‘Feeding Frenzy’ » sur Threatpost, 13/08/2018 (consulté le 08/03/2019)

↑ (en) Lindsey O'Donnell, « RSA Conference 2019: Firms Continue to Fail at IoT Security » sur Threatpost, 07/03/2019 (consulté le 07/03/2019)

↑ (en) Kieren McCarthy, « The Internet of Things is a security nightmare reveals latest real-world analysis: unencrypted traffic, network crossover, vulnerable OSes » sur theregister.co.uk, 12/03/2024 (consulté le 12/03/2020)

↑ (fr) « Selon un rapport de Zscaler, la plupart des transactions IoT ne sont pas sécurisées » sur LeMondeInformatique, 10/03/2024 (consulté le 12/03/2020)

Date	Auteur	Catégories
15/08/2018	janiko	Concepts, Menaces

Objets connectés

Marchera pas

Innovons

Aspirateurs connectés

Avions connectés

Voitures et deux-roues connectés

N’importe quoi connecté

Menaces

DDoS et Botnets

Conséquences juridiques

En 2019 : rien de nouveau

En 2020 : rien de nouveau

Sources

Voir aussi

Références

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

Marchera pas

Innovons

Aspirateurs connectés

Avions connectés

Voitures et deux-roues connectés

N’importe quoi connecté

Menaces

DDoS et Botnets

Conséquences juridiques

En 2019 : rien de nouveau

En 2020 : rien de nouveau

Sources

Voir aussi

Références

Partager :

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

Recherche sur le site

Étiquettes