445 milliards de dollars : c’est le montant des conséquences de la cybercriminalité en 2016, au niveau mondial ! La sécurité des IoT soulève de nombreux doutes même si ces objets représentent une opportunité majeure plus qu’un risque. Une attaque a été perpétrée dans un casino via le thermomètre d’un aquarium situé dans le Hall !
Les IoT : porte d’entrée des pirates encore négligée
Actuellement, l’utilisation de l’Internet prend de plus en plus de l’ampleur avec les IoT. Ce sont des dispositifs appelés également « Internet des objets » auxquels d’innombrables objets sont connectés : des thermostats, système de réfrigération, système de CAHT, des dispositifs d’Alexa apportés aux bureaux… Bref à la limite de votre imagination ! En effet, ceux-ci ont augmenté la surface d’attaque, et la plupart ne sont pas couverts par les défenses traditionnelles. C’est ainsi qu’un casino, dont le nom a été gardé secret, a fait l’objet d’une intrusion dans sa base de données, via le thermomètre de son aquarium.
Une patronne d’une société de sécurité informatique l’a cité pendant une conférence à Londres : « les objets connectés sont de vraies passoires à cause de leur faible protection et les données même les plus sensibles y passent ! ». Le cas de PSN, Twitter, Netflix ou encore PayPal et eBay qui était inaccessible pendant 24 heures à cause de l’attaque contre Dyn qui a été orchestrée à partir d’objets connectés mal sécurisés, infectés par le malware Mirai.
La sécurité des IoT : la hantise des ingénieurs informatiques
Vinton Cerf le “père de l’Internet” (co-créateur du protocole TCP/IP sans lequel Internet n’existerait pas) s’est dit très excité, mais tout aussi inquiet du développement de l’Internet des objets, qu’il estime ne pas être assez sécurisé. Et de grands responsables et ingénieurs de la sécurité informatique sont également d’accord avec lui ; pire ce problème est une vraie hantise pour eux. Même le directeur de l’agence nationale de la sécurité des systèmes d’information Guillaume Poupard est particulièrement inquiet par la découverte de la faille Krack ; non pas parce qu’elle existe, mais parce qu’il faudra des années avant qu’elle ne soit plus du tout un problème. L’alerte vire au rouge, les problèmes sont si inquiétants qu’au total, en deux ans, l’IoT Village de la DEF CON a mis en lumière 113 vulnérabilités dans cet arc !
Une solution qui pour le grand public coûte cher…
L’État a mentionné une solution, mais malheureusement pas accessible au grand public qui est pourtant le premier responsable ! Elle consiste à mettre en place un processus de labellisation des intégrateurs de confiance, dont la certification de certains appareils conçus pour ce secteur. Cependant, si cette méthode est envisageable au niveau des entreprises, pour les particuliers elle est lourde et coûte plus cher surtout au niveau des objets low-cost. « L’industriel certifierait qu’il respecte un cahier des charges générique » et pourrait se soumettre à des crash-tests pendant un mois pour « permettre d’obtenir un premier avis sur le niveau de confiance du produit ». Les solutions qu’il propose pour le moment sont donc de faire des évaluations plus légères ou encore de l’auto-évaluation !