En plus des données, l’Internet des Objets (IoT) arrive sur le marché à un rythme de développement exponentiel. Il semble que presque tout, des appareils électroménagers aux véhicules, en passant par les jouets pour les enfants, soit en passe d’être paré de la connectivité réseau pour créer de nouveaux modèles commerciaux.

Ces exemples témoignent de la quantité considérable de données susceptibles d’être attaquées. Et cette surface entraîne l’augmentation massive du cybercrime organisé et du nombre d’acteurs malveillants ‘indépendants’. Il est d’autant plus inquiétant de voir que la phase d’apprentissage pour les cybercriminels potentiels est d’une facilité déconcertante. Par exemple, de nombreux systèmes connectés à Internet contiennent des mots de passe par défaut, inscrits directement dans le code du logiciel ou firmware, ou bien simplement trouvés en parcourant les manuels de service disponibles. Ce problème est connu depuis des décennies et persiste aujourd’hui. Comme le prix des équipements de réseau a chuté, le volume de périphériques utilisant des mots de passe ajoutés directement dans le code est vertigineux.

Dans le cas où le mot de passe n’est pas indiqué dans le code des logiciels, l’utilisation d’un mot de passe par défaut est chose courante. Ce peut être aussi élémentaire qu’un mot de passe par défaut unique, commun à un type de périphérique ou un peu plus élaboré comme un numéro de série de périphérique. Comme de nombreux utilisateurs ne modifient pas les mots de passe des appareils et périphériques qu’ils considèrent à faible risque, une personne malveillante peut facilement utiliser des outils de recherche prêts à l’emploi pour scanner via Internet des périphériques courants et voir ce qui se présente. Dans le cas où un numéro de série est employé - les numéros de série sont souvent séquentiels - il suffit à l’attaquant de déterminer le système de numérotation alphanumérique puis d’écrire un script très simple pour les rechercher et les exploiter.

De nombreux utilisateurs d’appareils connectés sont dans l’incapacité de mesurer les risques réels. Récemment, une base de données d’un casino de Las Vegas a été piratée grâce à au thermomètre d’un aquarium du casino, qui était connecté à Internet. Les pirates ont exploité une vulnérabilité du thermomètre pour accéder au réseau du casino et l’ont simplement exploré pour trouver ce qu’ils cherchaient. Il n’est évident pour personne qu’un thermomètre d’aquarium puisse être une cible, mais la plupart d’entre nous oublient que les hackers sont opportunistes et recherchent le moyen le plus simple.

Malheureusement, aucun règlement n’oblige les fabricants de périphériques IoT à y inclure des éléments essentiels de sécurité comme une authentification forte, disponible via des PKI basées sur des certificats. Le tristement célèbre Botnet Mirai en est l’exemple même. Des millions d’utilisateurs n’ont pas appliqué une sécurité appropriée, en grande partie parce qu’il ne leur semblait pas que leur appareil connecté puisse être la cible valable d’une attaque.

Le problème persiste et il va s’aggraver jusqu’à ce que les autorités de réglementation se réveillent et se rendent enfin compte des failles dans leur façon de percevoir les questions de sécurité. Les défaillances peuvent - et elles l’ont d’ores et déjà fait -provoquer un effet « boule de neige » très réel. Les fabricants d’appareils doivent anticiper et prendre des mesures plus proactives. Quant aux utilisateurs, ils doivent être mieux formés et mieux informés, et se méfier beaucoup plus des périphériques qu’ils ajoutent à leur réseau. Sans quoi, vu la croissance constante du nombre d’objets connectés, les cybercriminels ne cesseront jamais d’agir.