Les objets communicants envahissent aujourd’hui notre quotidien et les cas d’usage se font chaque jour un peu plus nombreux : véhicules connectés, réseaux d’énergie intelligents, Smart Cities, montres et lunettes connectées…, etc. Tout est fait pour améliorer la qualité de vie des individus et simplifier leur quotidien.

Le nombre de botnets et de fausses données devrait fortement augmenter

Il faut certes voir les avantages qu’apportent les objets connectés dans la vie quotidienne des individus, mais aussi les nouvelles formes de criminalité que l’Internet des objets fait et fera émerger, explique le Colonel Philippe Davadie, Centre d’Enseignement Supérieur de la Gendarmerie. Si, à titre d’exemple, les Smart Grids permettront d’optimiser la consommation énergétique et la connexion des voitures d’améliorer le trafic automobile…, a contrario, l’Internet des objets deviendra certainement un point d’accès privilégié pour les botnets, dont le nombre risque d’ailleurs d’augmenter fortement. Nous devrions également assister à un accroissement de la création de fausses données. Ces risques soulèvent aussi des questions de sécurité physique des individus, puisqu’ils pourraient poser des problèmes de santé publique. Par exemple, qu’adviendra-t-il le jour où la température d’un (ou de plusieurs) réfrigérateur(s) sera volontairement faussée afin de favoriser le développement de bactéries et de virus ? Ces objets ne doivent-ils pas faire l’objet de contrôles avant leur mise sur le marché, au même titre que les médicaments ?

Sommes-nous, de plus, en train d’évoluer vers un régime d’écoute généralisé ? Les citoyens seront-ils surveillés en permanence ? Pourra-t-on encore cacher quelque chose ? Quid pour les Etats ? Les objets connectés posent aujourd’hui de véritables défis techniques et juridiques, qui façonneront notre société de demain.

Les objets connectés imposent des approches de sécurité légères avec de très faibles consommations de ressources

D’un point de vue technologique, l’Internet des objets se caractérise par sa capacité à se connecter à son environnement, explique Nathalie Mitton, Chargée de recherche, INRIA, Équipe FUN. On donne une identité à chaque objet, qu’il est capable de communiquer. La puce intégrée dans l’objet, couplée à un capteur, permet au monde physique de communiquer. L’ajout d’un actionneur permet, quant à lui, d’agir en réponse. Parmi les principaux défis informatiques que posent ces objets, elle soulève la nécessaire auto-organisation de ces derniers. On ne peut pas non plus embarquer un ordinateur dans chacun d’entre eux, et donc leur demander de calculs trop importants. Sans compter que les capteurs reposent souvent sur des batteries qu’il ne faut pas épuiser trop vite.

Même si on peut, selon elle, utiliser ce type de réseaux pour améliorer la démarche sécurité, ces derniers posent cependant eux-mêmes des problèmes de sécurité, notamment au travers des systèmes de communication sans fil avec lesquels fonctionnent ces objets, et la facilité d’y introduire de fausses données.

Outre les aspects sécurité, l’Internet des objets, et les technologies RFID sur lesquelles il repose entre autres, présentent également des risques pour le respect de la vie privée, observe Maryline Laurent, Professeur, responsable de l’équipe R3S du laboratoire CNRS SAMOVAR, Telecom Sud-Paris. Parmi eux, on pense notamment à la traçabilité des individus, l’espionnage des activités et des informations personnelles. En effet, chaque individu est aujourd’hui associé à tout un tas d’identifiants : adresse physique, impôts, sécurité sociale, téléphone portable, réseaux Mac, Wi-Fi, SSID…, complète Cédric Lauradoux, Chercheur, INRIA, équipe Privatics. La collecte de ces identifiants permet de traquer les individus, afin par exemple de procéder à du ciblage comportemental et de pousser à la consommation. Les objets connectés représentent d’ailleurs une véritable mine d’or pour ce type d’activité.

Par rapport à cette problématique d’identification, le besoin d’anonymat est prégnant, estime Maryline Laurent. Parmi les besoins techniques, elle recommande, entre autres, la confidentialité des contenus générés par les objets via le chiffrement, et ce avec des garanties de scalabilité, un bon niveau de sécurité et une simplicité d’administration. Un compromis doit donc être trouvé entre bon niveau de sécurité des technologique RFID et ergonomie. Le principal verrou technologique réside actuellement dans la nécessité de concevoir des approches de sécurité légères avec de très faibles consommations de ressources (mémoire, calcul, batterie).

Votre frigo et votre box ADSL sont peut-être déjà embrigadés dans un botnet…

Les équipements connectés sont désormais partout, dans les sphères privées et publiques, comme en entreprise, observe Vincent Nicomette, Enseignant/Chercheur, INSA Toulouse/LAAS-CNRS. Le problème est que la sécurité et le respect de la vie privée n’ont pas été pris en compte lors de la conception de ces équipements. C’est ainsi que l’on se retrouve avec des exemples d’attaques d’ores et déjà connus sur les box, les TV…, sans compter le cas d’un réfrigérateur qui fait désormais partie d’un botnet. Ses travaux de recherche se sont à ce jour principalement portés sur les possibilités d’attaques via les Box ADSL. En effet, les équipements connectés d’une maison passent tous par la « fameuse » Box. Cependant, il a démontré la possibilité d’attaque de ces systèmes, via la désactivation partielle du pare-feu, l’ajout d’un compte super-utilisateur, le remplacement du firmware…, permettant ainsi d’utiliser la box pour effectuer des appels surtaxés, mettre sur pied des botnets… Face à ce constat, la généralisation du protocole https s’impose, selon lui, et des méthodes cryptographiques dans leur ensemble pour sécuriser les communications sensibles.

Le domaine militaire n’est pas non plus épargné par cette « révolution » des objets connectés, remarque Frédéric Valette, Responsable du pôle SSI, DGA/DT. Il peut s’agir, par exemple, de mini-drones ou de récepteurs GPS. Il faut également compter avec les outils personnels apportés par les utilisateurs (smartphones, tablettes, lunettes, montres ou bracelets connectés…) sur les bases militaires. C’est quasiment impossible d’empêcher ce phénomène. On assiste, en outre, à une multiplication de la présence d’outils connectés légitimes : relevés de données vitales, robots, véhicules, maintenance. Sans compter les fonctionnalités présentes par défaut, telles que le Wi-Fi et le Bluetooth, qui sont souvent actives à l’insu de l’utilisateur.

Parmi les principaux risques, il note, en premier lieu, la sécurité de l’objet connecté, ce dernier représentant un point d’entrée pour les cyberattaques : par exemple via la connexion d’un smartphone sur un port USB pour le recharger. Les fonctionnalités communicantes sont le plus souvent activées, volontairement ou non. Parfois, on se retrouve avec des objets qui vont naturellement communiquer. Le risque de compromission d’informations sensibles ou classifiées (historique des positions GPS…) est également important avec les objets connectés, ces derniers transmettant tout un tas d’informations sur les équipements et leur environnement. Une personne malveillante peut également transformer ces systèmes en dispositifs d’espionnage (exemple du smartphone utilisé en micro ambiant ou en caméra, Google Glass…).

Véhicules connectés : les voleurs de voiture laissent place aux pirates informatiques

Quasiment tous les véhicules sont aujourd’hui connectés. « Un véhicule connecté est un système complet embarquant également des infrastructures débarquées », explique Pierre Gachon, Directeur de la Sécurité Informatique du Groupe Renault. Cependant, cette évolution ne se fait pas sans changements majeurs. Les cycles de développement d’un véhicule connecté sont différents, de nouvelles compétences sont nécessaires et les mises à jour doivent être quasi-quotidiennes. La façon de penser la sécurité, elle aussi, évolue, d’autant que de nouvelles menaces apparaissent. Parmi elles, il relève notamment la prise en main à distance des véhicules, la modification de leur IHM, le vol de données embarquées ou débarquées, les DoS sur les systèmes embarqués ou débarqués, l’outrepassement des règles d’abonnement ou la gestion de services, le vol de voiture, mais aussi le chantage. La communauté d’attaquants évolue avec les véhicules connectés : on passe des voleurs de voiture aux pirates informatiques et désinformateurs.

Afin de couvrir ces risques, il recommande entre autres :
– La conception de ces véhicules dans une logique de « Security by Design » et de « Privacy by Design » ;
– La transversalisation du monde débarqué/embarqué avec une approche systémique ;
– Des expressions de besoins et les cahiers des charges précis ;
– Des analyses de risques, audits, scans de vulnérabilités et tests d’intrusions réguliers ;
– De recourir à des partenaires compétents et de préciser clairement les responsabilités de chacun dans les contrats.

A l’origine, le véhicule connecté a été pensé pour améliorer la sécurité, complète Eric Dequi, Maître expert « Architecture EE / Réseaux & Cybersécurité », PSA Peugeot Citroën, notamment grâce au système de communication Car-to-X : alerte en cas de danger, freinage d’urgence automatique… L’objectif est de rendre le véhicule plus autonome, d’optimiser son fonctionnement et son ergonomie (régulation de vitesse, conduite plus écologique, alertes intempéries…). Toutefois, le passage d’un monde cloisonné à un monde connecté n’est pas sans risques. Parmi les types d’attaque, il recense entre autres l’exploitation des services sans abonnement, l’ouverture et le démarrage à distance, le vol de données à caractère personnel embarquées et débarquées, la prise de contrôle du véhicule… Les attaques varient cependant selon la proximité du véhicule. Les attaques « courte distance » se feront par exemple via le Bluetooth ou NFC…, à moyenne distance via le Wi-Fi, 802.11 (Car-to-X)… et à plus longue distance par Internet, LTE…

Afin de pallier ces menaces et s’inscrire dans une démarche de cybersécurité, PSA dispose d’une gouvernance groupe pour la cybersécurité des véhicules en lien avec la sécurité générale du groupe, d’une cellule d’experts et de correspondants métiers. L’entreprise effectue également des analyses de sécurité et tests d’intrusion réguliers… « En matière de véhicules connectés, il est, de plus, essentiel d’avoir des technologies ouvertes et interopérables, un langage et un vocabulaire communs, des services standards…, » souligne-t-il. Plusieurs instances seraient également à mettre en place : en charge par exemple de la vérification des technologies, autorité d’authentification…

L’Internet des objets ne sera pas sans la confiance des utilisateurs

Didier Appell, Responsable de l’offre cybersécurité de Sogeti High Tech, déplore, pour sa part, une tendance à vouloir utiliser des technologies existantes. Le problème est qu’on connaît d’ores et déjà leurs défaillances. Selon lui, sécuriser le système, c’est a minima sécuriser les accès, les canaux de communication, le stockage des données et les logiciels embarqués dans les devices, renforcer la protection physique des équipements critiques, utiliser de l’authentification forte pour les utilisateurs, les applications et les devices, ainsi que du chiffrement pour le stockage des données et les communications, recourir à une sécurité « par défaut », mais aussi former les développeurs aux règles de codage… Une cohérence doit exister dans le savoir-faire en termes de sécurité, de sûreté et de respect de la vie privée.

Enfin, pour Raymond Wei, Directeur Design Authority, Systèmes d’Information Critiques et Cybersécurité, Thales, trois principaux défis d’ingénierie se posent en matière de sécurité des objets communicants :
– Renforcer le niveau de sécurité intrinsèque de chaque objet ;
– Mettre en œuvre une architecture de sécurité scalable ;
– Maintenir dans le temps le niveau de sécurité d’un système évolutif.

Et quoi qu’il en soit, l’Internet des objets ne sera pas s’il n’arrive pas à rendre la confiance aux utilisateurs.