Du frigo à la voiture intelligente, en passant par la Barbie connectée : quid de la sécurité ?

Publié le 26 octobre 2016 à 12h53, mis à jour le 4 novembre 2016 à 19h41
Du frigo à la voiture intelligente, en passant par la Barbie connectée :  quid de la sécurité ?
Source : SUPERSTOCK/SUPERSTOCK/SIPA

La cyberattaque qui a perturbé l'accès aux plateformes de plusieurs grands noms du web vendredi aux Etats-Unis serait liée à une faille dans l'Internet des objets. Alors que tout, du frigo à la voiture, en passant par la poupée Barbie, est en train d'être connecté au Web, les experts en sécurité informatique dénoncent depuis plusieurs années le faible niveau de sécurité de ces appareils : que ce soit en terme de protection des données personnelles, mais aussi pour la sécurité de leurs utilisateurs. Pour en savoir plus, LCI a interrogé des experts en sécurité informatique.

Si l'on en croit les experts en sécurité informatique, l'attaque en plusieurs vagues qui a violemment pertubé le fonctionnement d'Interne vendredi aux Etats-Unis, privant des millions de personnes d'accès à Twitter, Spotify, Amazon, eBay, Reddit, Airbnb ou encore Netflixy, serait liée à une faille dans l'Internet des objets. Il s'agissait lors de l'attaque de vendredi dernier de caméras de surveillance, des imprimantes, des lecteurs DVD, ou bien encore des babyphones.

"Aujourd'hui, la sécurité de la grande majorité des objets connectés est proche de zéro, constate le blogueur Olivier Laurelli, alias Bluetouff, expert en sécurité informatique. Les fabricants ne se préoccupent pas de la sécurisation de leurs appareils connectés. Le plus important, pour eux, c'est de lancer sur le marché avant les autres. C’est un peu comme mettre un Galaxy Note 7 sur un barbecue, avant d'attendre qu’il explose sous vos yeux." 

6,4 milliards d'objets connectés utilisés dans le monde en 2016

Depuis déjà plusieurs années, les chercheurs en sécurité informatique n’arrêtent pourtant pas d’alerter l’opinion publique en analysant pêle-mêle bracelets, montres, webcams, disques durs, jouets et autres objets connectés.  Il y a un an, lors du lancement de la poupée connectée Barbie, pas moins de 14 failles de sécurité ont été repérées. Et les exemples sur le sujet ne manquent pas, alors que la course mondiale aux objets connectés ne fait que débuter. Le cabinet Gartner estime à 6,4 milliards le nombre d'objets connectés utilisés dans le monde en 2016. Leur nombre atteindrait 11,4 milliards en 2018.

"Aujourd’hui, la plupart des appareils connectés au Web sont fabriqués en Asie, explique  Renaud Lifchitz, chercheur en sécurité informatique  et expert en "Internet des objets" (IoT) chez Digital Security. Il existe de nombreux modèles et de nombreuses marques, mais la plupart utilisent le même logiciel ou un serveur identique. Il suffit pour le hacker de trouver une faille pour être capable de prendre le contrôle d'une large  flotte d'appareils connectés." Pour ce faire, les pirates ont d’abord utilisé un logiciel malveillant, baptisé Mirai. Celui-ci dispose d’une liste contenant une cinquantaine de mot de passe. 

Des objets connectés qui deviennent des machines zombies

"Les pirates ont scanné ce logiciel pour dénicher tous les appareils connectés dont les logins et les mots de passe correspondent, explique le chercheur en sécurité informatique.  A partir de ce moment, ils ont pu être infectés et détournés des centaines de milliers d'objets connectés, dans le but de former le fameux réseau de machines zombies qui a servi pour l'attaque". En clair, l’attaque informatique de vendredi a pu être menée simplement parce les utilisateurs de ces appareils n'avaient pas modifiés les mots de passe de ces produits.

Vous savez, ce sont les fameux login et un mot passe par défaut : admin/admin, 1234 et autres 0000. En début de semaine, un fabricant de composants électroniques chinois, Hangzhou Xiongmai Technology, a reconnu d'ailleurs que ses produits "IoT" (pour "Internet of Thing") ont joué un rôle involontaire dans la cyberattaque. 

Actuellement, il n’y a aucune norme ni protocole spécifique
Renaud Lifchitz, chercheur en sécurité informatique et expert en Internet des objets

"Actuellement, il n’y a aucune norme ni protocole spécifique pour renforcer la sécurité de ces appareils, pointe du doigt l'expert Renaud Lifchitz. De plus, certains possèdent ce qu'on pourrait appler une 'porte dérobée', qui a été mise en place par le fabricant. Cela a pour effet de fragiliser encore un peu plus la sécurité. Du coup, même si l’on change de mot de passe, un pirate chevronné pourrait très bien utiliser cette faille pour en prendre le contrôle. 

D'autant plus qu'on a souvent tendance à les oublier, ces appareils, oubliés dans un tiroir. Or tant qu’ils ont de la batterie et qu’ils sont reliés à Internet, ils peuvent servir à mener des attaques de ce type. "Prenez l’exemple de Nabaztag, le fameux lapin connecté qui diffusait des informations et qui a tiré sa révérence le 18 février 2015, relève le blogueur spécialisé Olivier Laurelli. Même si la boîte qui l’a commercialisé n'existe plus, il est encore possible aujourd’hui de s’en servir pour mener une attaque."

Nous sommes très mal armés face à la déferlante des objets connectés
Le blogueur Olivier Laurelli, alias Bluetouff, expert en sécurité informatique

De manière générale, les experts en informatique considèrent qu’il y a une faille toutes les 10.000 lignes de codes. Or les programmes sont de plus en plus complexes, il y a donc de plus en plus de failles, que des hackers pourront ensuite utiliser à des fins malveillantes. Voire bien pire : demain, "il y aura des morts" à cause des objets connectés, déclarait en janvier dernier l’Agence nationale de la sécurité des systèmes d'information (ANSSI), l'organisme chargé de la sécurité des réseaux et de l'information.

 Alors comment éviter ce scénario catastrophe ? "Nous sommes très mal armés face à la déferlante des objets connectés", déplore le blogueur Olivier Laurelli,  cofondateur du site Reflets.info. La première étape est d'aller sensibiliser des développeurs de ces appareils. Ensuite, il faudra mettre en place rapidement des normes de sécurisation des objets connectés, pour protéger les consommateurs". "Pour y remédier, nous travaillons à la réalisation d’un label de sécurisation des objets connectés" explique d'ailleurs Renaud Lifchitz de Digital Security. 


Matthieu DELACHARLERY

Tout
TF1 Info