Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Repenser la sécurité par défaut des objets connectés, pour mieux distancer les cybercriminels

janvier 2019 par Par Bastien Dubuc, Country Manager France, Consumer, chez Avast

Alors que le 11e Forum International de la Cybersécurité ouvre ses portes ce mardi 22 janvier 2019 à Lille, sous le thème « Security and Privacy by design », il est légitime de se demander si la démocratisation des objets connectés ne donne pas davantage de latitude aux hackers dans leurs attaques. En effet, ces derniers profitent de la multiplication des périphériques intelligents pour développer des offensives de plus en plus nombreuses et sophistiquées, qui vulnérabilisent considérablement les foyers.

Dans un futur proche, l’évolution des objets intelligents sera telle qu’il deviendra
difficile d’acheter des appareils électroménagers ou électroniques non connectés à
Internet. Comment, alors, prendre une longueur d’avance sur les cybercriminels, et
espérer renverser la tendance ? C’est une question à laquelle Bastien
Dubuc, Country Manager France, Consumer, chez Avast, propose un début de réponse :

« Les attaques sur les objets connectés se sont intensifiées, et cette tendance se
confirmera en 2019. Dans ce cadre, il est impératif de considérer que les
constructeurs et les utilisateurs finaux ont la responsabilité commune de protéger
les objets connectés.

Les fournisseurs d’objets connectés doivent immanquablement se montrer plus rusés
que les hackers, et placent la cybersécurité au cœur de leurs préoccupations, aux
prémices de la conception. La sécurité est souvent reléguée au second plan dans le
processus de fabrication, pour maintenir des coûts peu élevés, ou tout simplement
parce que les entreprises ne sont pas expertes en la matière. Adopter cette
stratégie est une erreur, car il suffit d’un périphérique non-sécurisé pour
permettre à un hacker d’accéder à l’ensemble du réseau domestique de son
propriétaire, et par extension, à ses données personnelles. Il est par exemple très
fréquent que les constructeurs attribuent le même mot de passe par défaut à tous
leurs objets connectés. Parfois même, les objets sont commercialisés sans aucun mot
de passe. S’il serait idéal de stopper cette pratique, il apparaît dans un premier
temps opportun que les utilisateurs finaux soient forcés de modifier ce mot de passe
par défaut par un autre, plus complexe, dès la première utilisation : pas de nouveau
mot de passe, pas d’utilisation possible ! C’est une étape simple mais cruciale,
dont la plupart des consommateurs ne mesurent pas l’importance.

Par ailleurs, si la mise à disposition régulière de patchs est indispensable, la
première étape consiste surtout à rendre ces mises à jour possibles. En effet, de
nombreux constructeurs utilisent des versions de logiciels obsolètes, rendant
vulnérables les objets tant leurs failles sont connues de tous. Ils ne proposent
cependant pas la possibilité de les actualiser ; en cas d’attaque sur l’objet
intelligent, il n’y a dans ce cas pas d’autre solution que de le remplacer.

Dans ce contexte, il est indispensable que les constructeurs s’associent à des
experts en sécurité dans l’élaboration de leurs appareils. Faire appel à des white
hats hackers, ces pirates éthiques qui avertissent les entreprises suite à la
détection de failles, permettrait de s’assurer que la couche de sécurité inclue dans
l’appareil est suffisante. Ceux-ci pourraient, en amont de la mise sur le marché,
tester la résistance des objets connectés aux cyberattaques élaborées. En outre, une
politique de divulgation des vulnérabilités rendrait possible une meilleure
collaboration dans le signalement et la résolution des problèmes.

Mais la cybersécurité est un combat perpétuel, et la lutte contre la
cybercriminalité ne s’arrête pas à la conception de l’objet connecté. Des millions
d’éléments malveillants apparaissent chaque jour, et il est illusoire de penser que
de simples vérifications de sécurité au moment de l’achat suffisent à prévenir les
attaques. Le propriétaire de l’appareil devra rester vigilant, et s’assurer de la
sécurité de ce dernier tout au long du cycle de vie. Cette sécurisation passe par la
modification régulière du mot de passe de l’objet, mais également du routeur auquel
il se connecte, car il peut mettre en danger l’ensemble des appareils sur le réseau.
Elle peut également se matérialiser par l’installation des mises à jour logicielles
dès leur mise à disposition.

Dans un futur proche, recourir à l’Intelligence Artificielle (IA) pour identifier et
bloquer les menaces telles que les malwares, botnets et autres atteintes à la vie
privée deviendra indispensable. De nos jours, les attaques se développent trop
rapidement pour que les humains puissent y répondre en temps opportun. L’IA a un
rôle majeur à jouer dans la cybersécurité, mais toujours dans l’optique d’une
collaboration homme-machine. Car si l’IA surpasse l’humain dans la détection des
attaques massives, celui-ci reste au premier plan pour ce qui est de l’analyse
poussée des attaques plus complexes. Quoiqu’il en soit, une plus haute considération
de la sécurité par les constructeurs, dès la conception, ainsi que l’observation de
règles élémentaires de sécurité par les consommateurs, représentent de solides
facteurs d’inversion du rapport de force qui, aujourd’hui, avantage plutôt les
cybercriminels.
 »


Voir les articles précédents

    

Voir les articles suivants