Objets connectés : quelle sécurité pour l’utilisateur ?

Plus de 50 milliards d’objets connectés seront utilisés dans le monde d’ici 2020, Thomas Gayet, directeur du CERT digital.security (Computer Emergency Response Team) et filiale d’Econocom répond à nos questions sur la sécurité de ce nouveau monde connecté. 

Comment les objets connectés sont-ils sécurisés ? 

Thomas Gayet : Les solutions connectées sont sécurisées de façon très variable selon les fabricants. Il y a de grands écarts de sécurité d’un produit à l’autre pour un même service. Deux caméras de deux marques différentes peuvent avoir le même usage, mais deux niveaux de sécurité très différents. C’est très difficile pour un utilisateur de s’y retrouver. 

Comment faire en magasin, à quoi faut-il faire attention avant d’acheter un produit connecté ? 

Thomas Gayet : Les consommateurs peuvent tout d’abord s’orienter vers les grandes marques qu’ils connaissent et qui sont distribuées en France et en Europe et qui respectent par conséquent le règlement européen sur la protection des données (RGPD), c’est déjà un bon début. C’est un premier gage de confiance. Une alarme connectée achetée sur un site chinois n’offrira pas le même niveau de sécurité qu’une alarme de grande marque commercialisée en France. Un label de sécurité en cours de création chez digital.security sera par ailleurs bientôt visible sur certains produits connectés. Il assurera au consommateur la conformité des produits connectés à des exigences de sécurité. 

Pour l’instant, il est difficile pour l’utilisateur d’identifier les risques à la lecture de l’emballage en magasin. Lors de l’installation du produit à la maison, quelques précautions sont obligatoires. Il faut avant tout changer les mots de passe qui existent par défaut dans les systèmes des objets connectés, par exemple pour les caméras. Souvenez-vous de l’affaire "Mirai". 1 million de caméras IP avaient été piratées, car elles avaient conservé leur mot de passe par défaut. Il faut en choisir un nouveau, très robuste. D’ailleurs, pour rassurer les consommateurs sur ces caméras, des fabricants travaillent aujourd’hui à la mise en place d’opercules physiques qui viennent obstruer la caméra dès que les utilisateurs rentrent chez eux. 

Quels sont les risques de piratage si j’ai une caméra et des capteurs chez moi ?

Thomas Gayet : Un pirate informatique peut utiliser vos objets connectés et les détourner de leur usage principal pour exploiter  leur force de calcul ou utiliser leur connectivité à Internet, ajouter à celle de milliers d’autres objets connectés piratés. À l’aide de ce réseau d’objets devenus « zombies », il peut alors faire générer par calcul une cryptomonnaie ainsi que lancer des attaques en saturation sur des ressources Internet pour les rendre inaccessibles. C’est ce qui a indirectement rendu indisponible des grands sites Web comme Facebook, Twitter ou le New York Times  en octobre 2016. Il peut également prendre le contrôle d’une voiture à distance, faciliter des cambriolages, désactiver des alarmes, détourner des données de santé, vous géolocaliser… Les données des utilisateurs ne sont pas assez protégées, mais les objets connectés ne sont pas les seuls en cause. Le smartphone est le premier outil mal protégé. C’est pour cela que l’État français et l’Union européenne cherchent à imposer un minimum de sécurité défini dans la réglementation. Enfin une part des risques repose sur les utilisateurs, il faut encore rappeler l’importance des mots de passe et des mises à jour de sécurité régulières à effectuer sur les objets informatiques et connectés. 

La particularité des objets connectés en termes de risque, c’est leur incidence sur la vie réelle. Un ordinateur piraté est pénible, mais ne vous empêchera pas de conduire ou de rentrer chez vous. Une clé connectée, une voiture autonome ou un système médical connecté piratés peuvent par contre avoir de graves conséquences sur les biens et les personnes. 

Les jouets connectés courent-ils les mêmes risques ?

Thomas Gayet : Les risques sont les mêmes. Les parents doivent avoir pleinement conscience de ce que le jouet connecté qu’ils donnent à leur enfant va pouvoir collecter comme données et comment. Le jouet va-t-il prendre des photos, enregistrer la voix, l’image, est-il connecté à internet ? Selon ce qu’il peut faire, les risques sont très différents. Par exemple, si une poupée parle avec l’enfant, les réponses sont-elles envoyées chez le fabricant ou juste analysées en local sur la poupée ? Tout cela doit être expliqué clairement dans les manuels d’utilisation. 

Chez digital.security que faites-vous contre ces risques ?

Thomas Gayet : Dans notre laboratoire nous nous intéressons aux puces électroniques et aux solutions logicielles. La sécurité touche autant le matériel que le logiciel aujourd’hui. Avec bientôt plus de 50 milliards d’objets connectés sur terre, s’ils sont mal sécurisés, les risques seront à la hauteur du volume ! Aujourd’hui 80% de ces objets sont dans l’industrie. Les Smart City qui se construisent intègrent des milliers de capteurs. C’est aussi là que se joue l’essor de l’IoT, nous aidons nos clients à prévenir les risques et à délivrer des solutions protégées pour leurs utilisateurs afin que la sécurité ne soit pas un frein à l’adoption des objets connectés. 

- Changer le mot de passe par défaut

- Faire régulièrement les mises à jour de sécurité

- Réinitialiser un produit avant de le revendre

- Se fier aux fabricants réputés et distribués en Europe

- Se demander où vont les données collectées