IoT : pourquoi et comment jouer la sécurité ?

Les enjeux business de l'IoT sont désormais indéniables, mais leur présence dans notre quotidien en fait également de puissantes armes technologiques qui placent la question de la sécurité au coeur des préoccupations.

Vendredi 21 octobre 2016, le prestataire technique Dyn qui gère le DNS* de Twitter, Netflix, Spotify, Airbnb, mais aussi Paypal et Playstation Network, subissait une cyberattaque qui paralysait totalement l’accès à leur site. Point de départ de ce piratage : les objets connectés. Ce sont les failles de sécurité de près de 100 000 appareils qui ont été exploitées pour déployer l’attaque par "déni de service" consistant à saturer un serveur par un envoi massif de requêtes. 

L’IoT dans le viseur des hackers

La hausse des attaques informatiques ces dernières années met en lumière les failles de sécurité des objets connectés grand public. Souvent moins sécurisés que les ordinateurs, ils apparaissent comme des cibles privilégiées pour les hackers. Ainsi, via des logiciels malveillants tel que Mirai, les pirates peuvent contrôler des objets de domotique comme les caméras de surveillance, les réfrigérateurs connectés ou encore les imprimantes. En plus d’être des relais pour des cyberattaques plus ou moins importantes, les objets connectés collectent une masse de données personnelles et confidentielles immense : l’état de santé, la vitesse au volant ou les cycles de sommeil des utilisateurs n’en sont que quelques exemples. Par ailleurs, le rapport "Global Consumer Trust" publié en 2015 indique que 36% des personnes interrogées admettent avoir rencontré des problèmes liés à la sécurité et la confidentialité de leurs données sur certains appareils. Dans ce contexte, les consommateurs sont désormais de plus en plus exigeants quant à la protection de leur vie privée, à tel point que 47% des personnes interrogées sont prêtes à payer plus pour une application qui ne partagerait pas leurs données.

Sécurité de l’IoT : les bonnes pratiques pour sécuriser les objets connectés

Face aux nouvelles exigences tant juridiques que technologiques et marketing, l’organisation Online Trust Alliance, qui travaille sur les questions de l’IoT depuis 2015, a partagé avec les professionnels du secteur (fabricants, développeurs et vendeurs d’appareils intelligents), des clés pour renforcer la sécurité des objets connectés. Parmi leurs recommandations, on trouve notamment la nécessité de communiquer sur les politiques de confidentialité et de collecte des données avant la commercialisation et l'achat du produit connecté, et sur le devenir des données lorsque le consommateur se sépare de l’appareil.

Renforcer les opérations de cryptage des données personnelles échangées et stockées

Par ailleurs, la sécurisation de l’Internet des objets doit se penser dès la conception de l'appareil, puis se peaufiner à l’utilisation en passant par la commercialisation du produit. Ainsi, les fabricants doivent s’assurer de la qualité et de la robustesse des logiciels développés en insistant sur les étapes d’architecture, de design, d’implémentation et de configuration ; étapes au cours desquelles le plus de failles de sécurité sont remontées. Depuis 2015, pour appuyer leurs démarches, les constructeurs peuvent soumettre leurs produits à des tests afin d’obtenir le CERT™, 1er certificat européen dédié à la sécurité des objets connectés.

Enfin, si les fabriquant sont incontestablement les premiers acteurs à garantir la sécurité des objets connectés, les consommateurs doivent aussi revoir leurs comportements à l’utilisation. Cela commence par la mise en place et le renouvellement des mots de passe sur leurs appareils ou par l’utilisation de coffres forts numériques afin de protéger leurs données personnelles. En parallèle, avec la multiplication des cyberattaques, plusieurs professionnels de la sécurité proposent l’intervention de "white hats" ou "hackers éthiques" pour répondre aux défis technologiques lancés par les pirates. Sont-elles suffisamment efficaces ? Contestables d’un point de vue légal ? Ces questions ne font que renforcer la nécessité d’intervenir en amont sur les questions de sécurité.

*DNS ou domain name system: annuaire permettant de transformer les noms de domaine en adresse IP (donnant accès aux sites internet).