Peut-on sécuriser l’Internet des objets ?
Je suis intervenu en ouverture de la Conférence Cybersécurité – IOT et Systèmes Embarqués organisée à Toulouse le 18 février 2016. Organisée par Captronic et la société de conseil G-Echo, cette conférence rassemblait une centaine de personnes au laboratoire du LAAS-CNRS de Toulouse et voyait intervenir des spécialistes des questions de sécurité. C’était une belle occasion de faire le point sur le sujet. Ce compte-rendu utilise des informations glanées dans les interventions de cette conférence, complétées de quelques recherches en ligne. La conférence était sponsorisée par AllianTech (outils de mesure et capteurs), Digital Security (services et conseil), HSC/Deloitte (la filiale de conseil en sécurité de Deloitte issue de l’acquisition de Hervé Schauer Consultants en 2014), ISIT (développement temps-réel) et NeoTech (services et conseils).
Ce n’était pas la seule conférence sur le sujet en France. Le 8e Forum International de la Cybersécurité avait eu lieu au Grand Palais de Lille les 25 et 26 janvier 2016. Il y avait aussi eu les Journée sur l’Internet des Objets et la Cybersécurité/Cyberdéfense en juin 2015 au CNAM à Paris. Le sujet monte en puissance ! La sécurité de l’Internet des objets est devenue un sujet majeur des grandes conférences sur la sécurité comme dans les fameuses Defcon aux USA.
Chaque nouvelle vague technologique apporte son lot de vulnérabilités. Il a fallut des décennies pour sécuriser les transports ferroviaires, aériens et automobiles. La ceinture de sécurité, inventée à la fin du 19e siècle, n’est devenue obligatoire en France qu’en 1973. Dans le numérique, ces cycles innovation-sécurisation se sont accélérés. La micro-informatique a vu très rapidement naitre le business des anti-virus. Celui-ci s’est accéléré avec l’arrivée d’Internet. La mobilité et les systèmes de paiement ont alors apporté leur lot de vulnérabilités et de nouvelles solutions.
NB: j’utilise souvent le terme «hack» pour décrire des actions techniques permettant d’attaquer un objet connecté. Oui, je sais, le hacking peut avoir une connotation positive, mais il est aussi appliqué dans le domaine du piratage !
Les fragilités connues des objets connectés
L’univers des objets connectés va probablement suivre un scénario voisin : un développement des usages, la découverte de (nombreuses) vulnérabilités, des attaques symboliques générant un écho dans les médias et l’émergence puis le déploiement de solutions de sécurisation. On assistera à une inévitable course contre la montre entre sécurité et contre-attaques des pirates.
Ceux qui prétendent pouvoir sécuriser intégralement leur site Web ou leur micro-ordinateur sont souvent surpris des vulnérabilités qui peuvent être mises à jour par des spécialistes. La perception du risque est une affaire d’information. Par défaut, on ne craint pas grand chose. Mais au gré de la mise en avant des failles de sécurité et de leurs conséquences, la perception augmente et peut générer l’attente d’une plus grande sécurisation des systèmes. Sans compter le cas d’attaques subies.
Dans l’univers des objets connectés, les smartphones sont en première ligne. Ils sont à ce jour les objets les plus connectés du grand public et sujets à un nombre croissant d’attaques liées à leurs différentes vulnérabilités. Ainsi, le Mobile Malware Report Q4 2015 de G-DATA évoque le nombre de 2,3 millions de nouveaux dangers identifiés sur Android en 2015, en augmentation de 32% par rapport au trimestre précédent. Cela concerne les 66% d’utilisateurs de smartphones qui utilisent Android. iOS est également sujet à diverses vulnérabilités même si son côté plus fermé le protège partiellement.
Mais les vulnérabilités commencent à toucher de nombreuses catégories d’objets connectés. Les vulnérabilités sont multipliées par les points de contact et les capteurs comme les actuateurs. Et côté couverture médiatique, on commence à être servi. A commencer par les déclarations de responsables de l’ANSSI, l’agence du gouvernement qui dépend du SGDN et gère la sécurité des systèmes d’information de l’Etat, après la publication du Rapport Cybersécurité des objets connectés de Vincent Strubel en juin 2015.
Le catalogue des menaces concernant les objets connectés est pour le moins fascinant ! Dans «Abusing the Internet of Things», Nitesh Dhanjani en fait un premier inventaire avec le hacking intégrant les codes sources associés pour des éclairages connectés, générant un black-out, des serrures connectées (source), facilitant les cambriolages, des baby monitors, des TV connectées et des voitures connectées.
L’inventaire du «Hou ! Fais-moi peur» est déjà des plus riche :
- Les voitures possèdent une bonne douzaine de sous-systèmes et supportent divers protocoles réseaux (GSM/2G/3G/4G, Bluetooth, NFC, Wi-Fi sans compter l’USB et le port ODB-II). Même les informations RDS transmises dans la bande FM peuvent perturber le système de navigation ! Les autoradios sont vulnérables aux fichiers audio WAV vérolés. Il est aussi possible de créer une impulsion électromagnétique pour détruire l’électronique de bord d’un véhicule, via un générateur de Marx placé au bord de la route. Des problèmes de ce genre sont inventoriés dans le rapport du sénateur américain Edward Markey Tracking & Hacking: Security & Privacy Gaps Put American Drivers at Risk publié début 2015. Le schéma ci-dessous qui liste les nombreuses zones de vulnérabilités des véhicules modernes provient de la GSMA.
- Le piratage de connexions Wi-Fi via l’accès aux ondes de radio fréquences et l’interception de certains mots de passe qui circulent en clair est déjà bien courant. Des logiciels de hack de réseaux Wi-Fi sont faciles à trouver sur Internet et sont qui plus est gratuits ! La protection ? Au minimum, utiliser des mots de passe compliqués avec minuscules, majuscules, chiffres et caractères spéciaux empêchant les systèmes de hacking d’exploiter des dictionnaires de mots couramment utilisés.
- Les caméras de surveillance peuvent être attaquées avec des lasers ou via leurs liaisons Wi-Fi, surtout si le réseau Wi-Fi a été précédemment attaqué par les outils précédents. Il en va de même pour les caméras GoPro qui peuvent être hackées à distance via leur liaison Wi-Fi (source).
- Dans la santé, des risques sont identifiés aussi bien avec les appareils connectés qui se contentent de prendre des mesures comme la tension ou la glycémie ou ceux qui agissent sur la santé comme les pacemakers.
- Les moyens de paiement, notamment sans contacts, sont très vulnérables. Ceci étant, la vulnérabilité la plus forte est celle des hommes eux-mêmes, en témoigne les fameuses fraudes «au président» qui relèvent de l’ingénierie sociale et pousse des services de comptabilité à effectuer des virements de très fortes sommes à des destinataires inconnus sans que cela n’éveille de soupçons dans les entreprises. L’objet connecté le plus fragile est en fait… l’homme !
- Les compteurs électriques peuvent être attaqués, tout du moins en Espagne, pour compromettre la sécurité du réseau électrique du pays. C’est lié à l’inter connectivité massive d’appareils faiblement sécurisés avec des réseaux d’infrastructure.
- Les thermostats de Nest sont vulnérables, tout du moins, ils l’étaient en 2014.
- Un haut fourneau a aussi été attaqué en Allemagne en 2014 sans compter les centrifugeuses d’uranium iraniennes, attaquées par le virus Stuxnet co-conçu par la NSA et le service de renseignement israélien 8200, et exploitant une vulnérabilité de Windows. Le vers reprogrammait des machines industrielles sans laisser de traces ! Il va sans dire que c’était une attaque des plus sophistiquées avec un niveau d’intégration très important. Le scénario est facilement réplicable et s’appuie sur la connaissance publique de failles connues dans les systèmes d’exploitation, Linux compris. Les systèmes d’exploitation sont rarement patchés instantanément après la découverte de vulnérabilités.
- Il y a quelques années, l’expert en sécurité Chris Roberts avait montré comment il avait détourné la route d’un avion à partir de son siège de passager, en hackant physiquement puis logiquement le système de vidéo du siège. Il avait aussi modifié la température de la station spatiale ISS, ce qui lui a évidemment attiré les foudres de la NASA alors qu’il cherchait surtout à montrer leur incurie en termes de sécurité.
- Mieux, les bracelets de détenus en liberté surveillée sont aussi hackables (source).
- Dans la conférence de Toulouse, Eric ALATA, un chercheur du LAAS-CNRS montrait comment il avait hacké à distance la box opérateur d’un utilisateur ainsi que des objets connectés via un réseau LoRa avec une petite antenne permettant d’avoir une portée de 1km.
- A contrario, des rumeurs circulent sur une entreprise dont le réseau informatique aurait été hacké via une vulnérabilité d’un grille pain connecté. Je l’ai vu évoqué dans différentes conférences en France. J’ai l’impression qu’il s’agit en fait d’une légende urbaine et plutôt d’un cas théorique. Il est évoqué dans une présentation de Checkpoint pendant la conférence Defcon 2015. On trouve des traces de grille pain connecté sur Internet en 1990 et en 2014. A chaque fois, il ne s’agissait que de prototypes, pas de produit commercial, donc a fortiori, avec peu de chances d’être installés dans des entreprises lambda. J’en même trouvé un historique des grille pains connectés ici qui confirme qu’il ne s’agit pas de produits commerciaux (même si l’article date de 2012). Une agence de communication américaine dénommée SocialToaster utilise même le concept du grille pain connecté pour décrire ses campagnes de buzz sur réseaux sociaux. Ils ont lancé un grille pain connecté le 1er avril 2012 (photo ci-dessous) ! Il ne me semble jamais avoir vu de grille pain connecté en visitant le CES de Las Vegas. Et pourtant, on y trouve chaque année plein de choses bizarres comme vous avez pu le constater dans le dernier Rapport du CES 2016 ! Les évangélistes de l’IoT et autres experts en sécurité continuent malgré tout de brandir la menace du hack des grilles pain connectés, les utilisant comme de simples et efficaces artifices de communication pour sensibiliser le public ! Un peu de fact checking ne fait pas de mal !
- Les attaques sont aussi très souvent mises en scène dans la fiction au cinéma ou dans les séries TV. Elles étaient innombrables et provoquées par la NSA dans «Ennemy of the State» en 1999, qui n’avait pas l’équipement adapté à l’époque mais s’est largement rattrapée depuis comme l’a révélé Edward Snowden, avec les neuf saisons de «24 Chrono» et les bidouilles de Jack Bauer utilisant un smartphone pré-iPhone, puis dans «Die Hard 4» avec une cyber-attaque globale touchant les infrastructures de New York, la cyberattaque d’Air Force One par des ukrainiens au début de la seconde saison de la série «Madam Secretary» ou encore l’assassinat du Vice Président US via une attaque de son pacemaker dans le 10ième épisode de la seconde saison de la série «Homeland». Ces nombreuses attaques sont en fait des demi-fictions car elles s’appuient en général sur scénarios plutôt plausibles. Dans le pire des cas, les scénaristes n’étaient qu’un peu en avance sur leur temps. Mais moins en avance que les scénaristes de films de science-fiction genre Star Wars ou Star Trek. En effet, on ne se déplace toujours pas plus vite que la lumière, même au niveau des particules les plus élémentaires !
Lire la deuxième partie: Les solutions de sécurisation de l’IoT
Olivier Ezratty est consultant en nouvelles technologies et auteur d’Opinions Libres, un blog sur les médias numériques (TV numérique, cinéma numérique, photo numérique), et sur l’entrepreneuriat (innovation, marketing, politiques publiques…). Olivier est expert pour FrenchWeb.
Crédit photo: Fotolia, banque d'images, vecteurs et videos libres de droits
- Ask A VC : comment modéliser un compte de résultat — Partie 6/6 : analyse de sensitivité - 21/05/2024
- Ask A VC : comment modéliser un compte de résultat — Partie 3/6 : les Coûts Fixes - 16/01/2024
- Question à un VC : Pourquoi les marges unitaires sont-elles si importantes pour votre modèle d’affaires? - 13/11/2023
J’apprécie particulièrement la comparaison faite dans l’article avec l’automobile et la ceinture de sécurité. Cela me fait penser à cet blog post : https://www.vaadata.com/blog/fr/lindustrie-du-web-est-comme-lautomobile-a-ses-debuts-unsafe-at-any-speed/