Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Adrien Wiatrowski, Lexsi : Santé, transport, maison... quand les risques en systèmes d’information portent atteinte à la vie des particuliers !

mars 2014 par Adrien Wiatrowski, consultant sécurité pour Lexsi

Sur le plan médiatique, Google ne cesse de faire parler de lui dans le domaine des objets connectés grâce à ses Google Glass, Google Car et ses différents rachats d’entreprises, notamment Nest. Cependant, ce n’est pas la seule entreprise à développer ce type de produit, le Consumer Electronics Show (CES) 2014 de Las Vegas a été marqué par le nombre important d’objets connectés présentés.[1]

Ainsi, des entreprises françaises se sont démarquées avec notamment une brosse à dents intelligente ou un bracelet qui mesure l’exposition au soleil, le nombre d’heures passées au soleil et la quantité d’UV reçue par la peau. Outre ces nouveaux concepts, il existe d’autres objets connectés largement accessibles, comme les systèmes de surveillance des habitations ou encore le paiement sans contact utilisant la technologie Near Field Communication (NFC). Mais l’essor de telles technologies n’est-il pas sans risque ?

LES RISQUES LIES AUX APPAREILS CONNECTES

« Si un objet est connecté à Internet, on peut le trouver, et s’il a un système d’exploitation, on peut le pirater » explique Kevin Haley, chargé de la recherche chez Symantec [2]. Cela résume tout à fait les risques liés à l’usage d’appareil connecté.

1. La santé Connectée Que se passerait-il si ce type de vulnérabilité existait par exemple sur les pacemakers connectés, ces émetteurs qui détectent en temps réel les contractions cardiaques irrégulières ou trop faibles et qui délivrent un choc électrique pour éviter une crise cardiaque ? Barnaby Jack, expert pour l’éditeur de solution de sécurité IO Active, avait révélé en 2012 une vulnérabilité dans les émetteurs sans fil utilisés pour envoyer des instructions aux pacemakers connectés. Une attaque ciblée utilisant cette faille « pourrait certainement entraîner la mort de l’utilisateur » en lui délivrant une charge électrique « malveillante ». [3] [4] Un problème similaire a été documenté en 2011, par Barnaby Jack, sur les pompes à insulines connectées qui peuvent être piratées et délivrer une quantité d’insuline supérieure aux quantités prescrites, entrainant un choc hypoglycémique chez le patient et pouvant aller jusqu’au « décès de ce dernier ».[5] Mais la santé connectée ne s’arrête pas aux dispositifs implantés. Une méthode de chirurgie à distance a été réalisée en 2001. Un chirurgien français situé à New-York a opéré un patient se trouvant au CHU de Strasbourg par le biais d’un robot connecté. Que se passerait-il si une personne malveillante prenait le contrôle du robot pendant une opération à coeur ouvert malgré les systèmes de sécurité implémentés ? En parallèle des avancées dans le domaine chirurgical, de nombreux appareils permettent de collecter et d’analyser des informations comme l’état de santé ou la tension par exemple.

Ces informations peuvent intéresser un grand nombre d’entreprises comme les assureurs ou les banques dans le cadre d’obtention de prêt. En poussant notre réflexion à l’extrême, êtes-vous prêt à porter un bracelet pour justifier de votre bon état de santé afin de pouvoir bénéficier d’un prêt ou d’une assurance et de vous voir retirer les bénéfices de ces derniers sous prétexte que vous êtes un sujet à risque ? De plus, êtes-vous sûr que les services ou les personnes recevant ces informations en ont le besoin d’en connaitre ? L’installateur, l’intégrateur, et autres intervenants ont-ils pensé à la sécurité lors de la conception et le développement du produit ?

2. Les transports La santé n’est pas le seul domaine à être impacté par l’émergence des objets connectés. Les constructeurs automobiles développent des voitures contenant de plus en plus d’informatique à bord (les systèmes embarqués) ce qui implique automatiquement de possibles vulnérabilités. Les hackers peuvent tout simplement ouvrir et/ou démarrer une voiture en quelques secondes comme nous le montre la vidéo ci-dessous. Plus effrayant encore, en 2011, des ingénieurs ont réussi à déjouer la sécurité de l’interface de téléphonie portable intégrée à une voiture (et qui sert aux services d’assistance à distance). Ils ont ainsi eu accès au réseau électronique pour manipuler divers accessoires (nettoyage des vitres, phares, radio, compteur de vitesse, etc.). Les systèmes gérant le moteur ou les freins « pourraient » aussi être piratés à distance.[6] Nous pourrions donc être victimes de personnes malveillantes prenant « en otage » les conducteurs afin de leurs faire payer une rançon sans quoi la voiture ne ralentirait plus ou ne freinerait plus. La fiction est finalement proche de la réalité. En suivant cette logique du tout automatique, à quand l’avion sans pilote ? Airbus travaille déjà sur un projet de ce type. Imaginons donc l’impact si une vulnérabilité était utilisée à des fins malveillantes !

3. La maison et le quotidien connectés [7] Pour revenir au NFC, cette technologie, déjà largement utilisée pour les pass de transport (Navigo à Paris, PassXL à Marseille), fait son apparition dans vos cartes bancaires. Difficile aujourd’hui de manquer les différents spots de publicité diffusés sur les chaînes françaises. Pourtant, la Commission Nationale de l’Informatique et des Libertés (CNIL) et plusieurs experts s’intéressent de très près à la sécurité des données personnelles sur ces moyens de paiement, et ont démontré les vulnérabilités du système. Le risque de piratage est bel et bien réel et documenté sur Internet. Ainsi, Renaud Lifchitz, ingénieur sécurité chez BT, a prouvé qu’il était possible de récupérer les données d’une carte bancaire sans contact (le numéro de carte bancaire, les noms et prénoms, ou encore l’historique des vingt dernières opérations effectuées). Cette technologie est aussi présente sur les smartphones de dernière génération (Google Nexus 5, Samsung Galaxy S4, LG Optimus L5…). Ces téléphones connectés sont en réalité de vrais mouchards qui transmettent malgré vous beaucoup d’informations en naviguant sur internet, via les applications disposant d’accès à votre répertoire, vos historiques, vos SMS, mais aussi votre position géographique.

Si vous disposez d’un téléphone Android synchronisé à votre compte Google, ce lien vous montrera à quel point vous êtes suivis sans même vous en douter : https://maps.google.com/locationhistory/ Ne vous inquiétez pas, les systèmes sous iOS, Windows Phone… ne sont pas en reste. L’Allemagne a d’ailleurs interdit fin 2013 l’utilisation de l’iPhone au Bundestag (Parlement allemand) suite aux révélations sur le programme de surveillance des communications téléphoniques et électroniques entrepris par les États-Unis. [8] Votre smartphone peut aussi vous servir à surveiller votre habitat, mais qui vous dit que vous êtes le seul à pouvoir regarder la vidéo ?

Quant aux systèmes d’alerte vendus par une multitude de sociétés de surveillance et fonctionnant via le réseau mobile, un simple brouilleur d’onde suffit à les neutraliser (l’alarme se déclenchera mais la société ne sera pas avertie). En l’état actuel des choses, l’utilisation d’appareils connectés en masse rendra votre vie privée de plus en plus publique et à la merci de personnes mal intentionnées. Par le biais de failles de sécurité, des informations sur notre santé, nos habitudes de consommations, nos déplacements à l’intérieur et à l’extérieur de notre domicile… seront disponibles, aussi bien pour des actes de marketing ciblé, que pour des actes malveillants, comme par exemple l’usurpation d’identité ou la demande de rançon. CONCLUSION Les objets connectés représentent une avancée technologique facilitant le quotidien. Cependant, la sécurité dans le cadre de la conception, du développement et du cycle de vie de ce type d’appareil est indispensable compte-tenu des données traitées et des risques encourus, pour nous, simples utilisateurs candides. La CNIL a lancé un chantier de réflexion au sujet du bien-être et de la santé connecté. Il n’existe donc aucune contrainte ciblant directement les appareils connectés. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande, de manière générale, de prêter attention à tous types d’appareils connectés au réseau Internet. Pour l’heure, ces équipements doivent être mis à jour avec les correctifs de sécurité du constructeur ou de l’éditeur dès leurs parutions.


RÉFÉRENCES

[1] http://obsession.nouvelobs.com/high-tech/20140106.OBS1491/ces-5-objets-connectes-qui-vont-changer-votre-quotidien.html
[2] http://www.lexpress.fr/tendances/produit-high-tech/les-objets-connectes-posent-des-risques-de-securite_1313531.html
[3] http://www.lemondeinformatique.fr/actualites/lire-pacemaker-hacke-risque-de-decharge-mortelle-50883.html
[4] http://www.vice.com/fr/read/barnaby-jack-peut-pirater-votre-pacemaker-et-faire-exploser-votre-coeur
[5] http://www.entete.ch/blog/2011/11/13/un-hacker-transforme-une-pompe-a-insuline-medtronic-en-arme-mortelle/
[6] http://www.lemonde.fr/economie/article/2014/03/04/pirater-une-voiture-c-est-possible_4377167_3234.html
[7] http://www.cnetfrance.fr/news/le-nfc-une-technologie-piratable-39785994.htm
[8] http://www.lepoint.fr/high-tech-internet/allemagne-les-parlementaires-prives-d-iphone-26-11-2013-1761974_47.php


Voir les articles précédents

    

Voir les articles suivants