Le monde des équipements connectés omniprésents est à nos portes et il est attendu avec une telle impatience que sa réalité paraît inéluctable. Cependant, il convient de bien cerner l’Internet des objets dans son ensemble et comprendre comment il fonctionne. Car il est important de rappeler que de nombreux dispositifs peuvent être connectés – dont un grand nombre le sont sans savoir s’ils ont vraiment besoin d’accéder à Internet. Très peu de personnes pensent que le piratage d’un appareil connecté pourrait représenter un danger réel, bien plus conséquent que le piratage d’un PC.
Autrement dit, de plus en plus d’équipements de toutes sortes commencent à être commercialisés : appareils électroménagers, accessoires médicaux, ou plus étonnement des stations de lavage pour voitures ; et ils sont dotés de systèmes de contrôle intelligents connectés à Internet et, par conséquent, piratables à distance.
La situation est assez claire (ou, plutôt, clairement inquiétante) dans le cas des appareils électroménagers : des experts ont déjà réussi à prouver à quel point il est facile de pirater sa propre maison intelligente au point d’y semer le chaos. Cette réalité est-elle transposable au monde de l’entreprise ?
Quand la machine à café vous surveille
Imaginons ce scénario : une machine à café se trouve dans une salle de réunion, là où des informations très confidentielles peuvent être échangées entre les personnes présentes. Ce n’est pas un problème s’il ne s’agit que d’un appareil basique, fonctionnant avec des boutons et se bornant à mélanger du café, de l’eau chaude et du sucre pour remplir des gobelets. Mais imaginons à présent que la machine soit « intelligente », c’est-à-dire connectée en Wi-Fi et à commande vocale (intégrant un micro).
De manière générale, la connexion Wi‑Fi signifie :
– que la machine est reliée à un réseau local d’entreprise ;
– qu’elle peut recevoir et, très probablement, envoyer des informations ;
– qu’elle est piratable à distance si elle présente une faille dans son logiciel embarqué (firmware) et de protection insuffisante du réseau.
Dans ces conditions, est-il possible qu’une machine à café connectée se transforme un jour en appareil de cyberespionnage ? Absolument… à moins que les auteurs du firmware ne prennent des mesures « draconiennes » pour le rendre hermétique au piratage.
Le danger est partout
En fait, tout appareil « intelligent » en mesure de recevoir des données – téléviseur connecté, mais aussi tout autre appareil équipé d’une caméra ou d’un micro – peut faire office de mouchard (et d’ailleurs de tels incidents se sont déjà produits). Des menaces persistantes avancées (APT) récentes ont utilisé à plusieurs reprises la webcam d’ordinateurs portables pour prendre des photos à l’insu des utilisateurs.
Dans le même esprit, l’histoire du « réfrigérateur qui envoyait du spam » rapporte que des pirates ont réussi à couper à distance la climatisation sur un site où la température est strictement contrôlée (ce qui a pour effet de neutraliser les caméras de sécurité à infrarouge, par exemple) ou bien – toujours à distance – le système d’alarme d’un immeuble de bureaux ou d’une banque, des hommes armés et masqués font ensuite irruption.
Le maillon faible
Tout système interconnecté est aussi sécurisé et fiable que son maillon faible. Chaque nouvel équipement intelligent ajouté à un réseau donné constitue un point d’entrée potentiel pour des personnes malveillantes. En particulier compte tenu du fait que les utilisateurs des équipements dits « intelligents » négligent souvent d’en vérifier les paramètres, conservant ceux par défaut (en violation flagrante des règles les plus élémentaires de cybersécurité). Autant laisser les clés de la chambre forte d’une banque sous le paillasson devant l’entrée.
Les fabricants d’appareils connectés ont tout intérêt à ajouter des fonctionnalités – et donc de la valeur – à leurs produits. Ceux-ci sont certes « intelligents », pratiques et « tendance », mais sont-ils suffisamment sécurisés ? Pas nécessairement.
Les utilisateurs n’ont sans doute également pas conscience des menaces que peuvent cacher les équipements intelligents : pour eux, une machine à café dernier cri à commande vocale reste une machine à café, et non un « cyber-mouchard » potentiel.
En conclusion, cela signifie que les concepteurs des équipements connectés destinés aux particuliers ou aux entreprises doivent davantage se pencher sur le degré de sécurité (ou, pour l’instant, d’insécurité) de leur firmware, tandis que les entreprises qui déploient ces équipements sur leur propre réseau se doivent de rester vigilantes au quotidien.
____________
David Emm est Principal Security Researcher, Global Research & Analysis Team (GReAT)