Les principales menaces en entreprise : #4 l’Internet des Objets


Pour le mois de septembre, F-Secure décrypte chaque semaine pour vous les principales menaces auxquelles sont exposées les entreprises. Et pour le dernier article de la série : L’Internet des Objets !

Bonnes Pratiques, Confidentialité // 02/10/2015

EN QUOI CA CONSISTE ?

L’Internet des Objets (abrégé IdO) n’est pas une menace en tant que telle mais il s‘agit là d’une notion jeune qui ne nous a pas encore révélé tout son potentiel en termes d’usages pour les particuliers et les entreprises mais aussi en termes de dangers !

C’est un prolongement des objets connectés (dont il est très dépendant) et correspond à une extension d’Internet à des objets ou des lieux de la vie courante. L’IdO c’est donc l’ensemble des données envoyées par ces objets physiques sur le réseau Internet ainsi que leur capacité à se personnaliser eux-mêmes en s’adaptant aux utilisateurs ainsi qu’à leurs usages. L’IdO est aujourd’hui considéré par certains comme la troisième évolution d’Internet, le web 3.0.

En vrac, l’IdO regroupe les smartphones, les montres connectées, les voitures connectées, des objets liées à l’e-santé, certaines applications sportives (de course à pied par exemple) ou encore des objets liés à la domotique (robots aspirateurs).

Les attaques informatiques utilisant l’Internet des Objets sont assez peu répandues, l’objectif de ce billet sera donc de mettre en évidence les menaces auxquelles l’IdO expose les entreprises.

QUELS PEUVENT ETRE LES RISQUES ?

Le premier risque est une conséquence de l’extension d’Internet aux objets de la vie courante : puisque Internet suppose la communication entre différents réseaux, on observe une standardisation des normes et protocoles informatiques. Plutôt pratique en théorie, mais appliqué aux objets cette standardisation peut devenir problématique. Si demain un hackeur venait à trouver une faille exploitable sur le logiciel embarqué au sein d’une voiture, serait-il en mesure de l’exploiter sur toutes les autres voitures du même modèle ? Voire sur toutes les autres voitures avec logiciel embarqué si ces derniers reposent tous sur le même socle de développement ?

Le deuxième risque est assez lié puisqu’il s’agit de la standardisation des usages. L’Internet des Objet a créé chez nous des réflexes que des personnes malveillantes peuvent facilement exploiter. Par exemple, flasher un QR code. Rien de plus facile que de coller un autocollant avec un QR code vérolé sur une affiche de confiance ou sur un dossier de chaise lors d’une conférence. Si cette pratique relève plus de l’ingénierie sociale, c’est bien l’IdO qui a créé cette habitude chez nous.

Même si les attaques contre l’IdO sont encore assez peu développées, certains exemples ont déjà été rapportés aux médias. Récemment, des hackeurs ont mis à mal une Jeep en prenant son contrôle à distance : de la prise en main des essuie-glaces jusqu’à l’arrêt total du véhicule en passant par le changement de l’écran de navigation.

En extrapolant sur ce type d’attaques on peut très bien imaginer un cas similaire se produire sur un robot aspirateur. Que se passerait-il si un cybercriminel pouvait avoir accès aux données enregistrées par le robot ? Pourrait-il connaître le plan de l’appartement (données enregistrées par le robot dès qu’il rencontre un obstacle) ? Ou encore les heures auxquelles vous n’êtes pas chez vous si le robot est programmé tous les jours à la même heure ? Et les exemples de ce genre ne manquent pas.

QUELLES PEUVENT ÊTRE LES CONSÉQUENCES ?

Pour les entreprises, les conséquences peuvent être désastreuses. Reprenons l’exemple de la Jeep. Il en va de la crédibilité de son constructeur : quelle confiance accorder à un constructeur de voiture dont les véhicules peuvent être arrêtés à distance ? C’est toute l’image de marque que l’entreprise a réussi à se construire qui en pâti.

Et cette attaque peut aussi affecter les entreprises clientes de ce constructeur. Par exemple, si ce hackeur décide qu’aucune voiture de ce modèle ne peut démarrer, les conséquences financières pour les entreprises qui ont équipé leurs employés avec cette voiture de fonction peuvent être désastreuses.

Il en va également de la confidentialité des données d’une entreprise mais aussi de ce qui s’y dit ! Les Smart TV sont équipées de micros pour réagir aux ordres reçus par leurs possesseurs. Ecouter les conversations les plus secrètes qui se tiennent à huis clos dans des salles de réunion n’est plus une chose inaccessible si une télé à commande vocale est présente dans cette même salle.

COMMENT S’EN PRÉMUNIR ?

D’une manière générale, dès qu’un objet est connecté au réseau Internet, celui-ci devient vulnérable aux attaques informatiques et doit être protégé. Mais aujourd’hui, il n’existe aucun moyen de sécuriser l’Internet des Objets une fois que ces objets ont été conçus. Ces derniers doivent être les plus fiables possibles dès leur conception.

Il faut cependant avoir conscience que le piratage de l’IdO est encore assez peu développé à l’heure actuelle pour une raison qui peut paraître paradoxale : l’IdO est vulnérable car il est encore peu exposé et pas totalement démocratisé. Il est donc moins piraté. C’est presque du raisonnement par l’absurde.

Un autre point important, c’est qu’aujourd’hui, les attaques qu’il est possible d’effectuer via l’IdO sont plutôt de l’ordre du sabotage pour les entreprises ciblées. Or, les hackeurs sont généralement habités par des motivations financières. C’est pourquoi ces attaques ne sont pas encore privilégiées par les cybercriminels : ils doivent d’abord trouver le moyen de monnayer ce qu’ils peuvent récupérer grâce à l’Internet des Objets.

Le seul moyen de se prémunir est donc de ne pas s’engouffrer trop loin dans l’IdO à l’échelle d’une entreprise. Ce sont des technologies qui sont encore jeunes et donc vulnérables. Notre seul conseil est donc de faire preuve de patience pour que ces technologies soient éprouvées et que le marché de la sécurité informatique investisse pleinement le sujet, comme il est actuellement en train de le faire avec la protection des smartphones et tablettes entre autres.

Comme toutes les avancées technologiques, l’Internet des Objets comporte de nombreux bénéfices. Mais comme toutes les avancées technologiques, l’IdO comporte des risques que nous ne sommes pas encore en mesure de totalement maîtriser. Cette question nécessite donc un arbitrage pour voir si le jeu en vaut la chandelle et si les risques surpassent les bénéfices ou non.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s