La sécurité des objets connectés sera un enjeu de plus en plus crucial à mesure que ces objets se multiplieront. Pour l’heure, ils sont l’une des cibles favorites des hackers du monde entier, car leurs constructeurs ne prennent souvent pas la peine de les doter de défenses efficaces contre les logiciels malveillants. Aujourd’hui l’agence européenne pour la sécurité des réseaux et de l’information (Enisa) comme l’ANSSI en France recommandent la mise en place de réglementations fortes. Et cela semble plus que nécessaire.
Des caméras. Des simples caméras connectées, intelligentes, mais incapables de se défendre contre les cyberattaques. Il a suffi de cette porte d’entrée au logiciel malveillant Mirai, fin 2016, pour provoquer une réaction en chaîne qui a fini par rendre inaccessibles Twitter ou le site de CNN.
Le marché des objets connectés est en train d’exploser : les analystes estiment que d’ici 2020 entre 60 et 100 milliards d’objets connectés fonctionneront sur Terre, et que pas moins de 15% des objets seront connectés.
Un marché aveuglé par le gain et incapable de prendre en compte la sécurité
Au moment de l’éclosion de ce marché, certains ont pu espérer, et même affirmer, qu’il s’auto-régulerait en prenant conscience de l’importance de la sécurité. Mais un objet connecté sécurisé coûte plus cher : et comme les créateurs d’objets connectés veulent les maintenir à un prix abordable et que les consommateurs ne sont absolument pas informés sur les risques de sécurité, personne ne veut payer plus cher pour un objet mieux sécurisé.
Si l’installation d’antivirus sur PC est devenu la norme, grâce à une prise de conscience des risques, iles utilisateurs sont rares, dans le grand public, à savoir qu’un objet connecté peut être dangereux s’il n’est pas correctement sécurisé.
Les dangers d’un objet connecté vulnérable
Dangereux parce qu’il traite des données personnelles, qui peuvent être stratégiques pour des annonceurs (habitude de consommation, goût, mode de vie, moyens financiers), et même critiques pour l’utilisateur (état de santé, état financier, etc.).
Dangereux parce qu’un objet connecté infecté par un hacker peut être contrôlé à distance par ce dernier : et des cyber-terroristes pourraient bien retourner certains de nos objets fétiches contre nous.
Dangereux enfin, et c’est un corolaire de la précédente remarque, parce que les objets connectés reliés entre eux peuvent provoquer des réactions en chaîne : un objet infecté et contrôlé à distance par des hackers peut devenir le point de départ d’une nouvelle attaque.
Des hackers débutants à l’origine de l’attaque de Mirai
Dans son 22 ème rapport sur la sécurité d’Internet, Symantec revient sur les attaques de Mirai, et explique que les défauts de sécurité des objets connectés sont la cause unique de ce tsunami qui a fini par faire tomber l’entreprise qui gère le routage vers des sites comme CNN, Twitter, Netflix ou Reddit, tous rendus inaccessibles.
Le plus inquiétant est que l’attaque est le fait de « script kiddies », c’est à dire de hackers débutants qui se sont contenté d’utiliser des codes malveillants prêts à l’emploi – ce qui illustre bien à quel point une majorité d’objets connectés sont de véritable passoires en terme de sécurité.
Une législation indispensable
Face à ces menaces, les législateurs ont pris conscience qu’il fallait réagir. A l’automne 2016, Bruce Schneier, directeur technique d’IBM Resilient, a lancé devant les parlementaires américains un appel à la régulation, réclamant que les autorités imposent des réglementations.
Il affirmait que l’on pouvait clairement observer « un échec fondamental du marché » qui a « donné la priorité aux fonctions et aux coûts au détriment de la sécurité » . Devant l’ampleur des enjeux, la seule solution était d’imposer des normes strictes et claires.
L’ENISA s’associe à des industriels pour imposer des normes
Et cette prise de conscience se diffuse dans le monde entier, puisque nos autorités, au niveau national et européen, se sont décidées à réagir : si les constructeurs n’arrivent pas à sécuriser eux-mêmes leurs objets et à s’imposer des normes, des organes de contrôle doivent le faire pour eux.
C’est dans ce but que l’agence européenne pour la sécurité des réseaux et de l’information (ENISA) s’est associée à des industriels, Infineon, NXP et STMicroelectronics, pour élaborer une position commune sur la sécurité des objets connectés, qui se veut un « reflet des préoccupations de l’industrie ».
Mettre en place un label et des politiques d’incitation
L’ENISA propose de mettre en place un label européen à partir de normes techniques reconnues, comme la directive NIS ou encore le RGPD, détaillées dans le communiqué de presse mis en ligne le 22 mai 2017. Elle veut également accompagner et aider les industriels qui souhaiteraient mettre en place des solutions de sécurité plus élevées pour leurs objets connectés.
L’objectif déclaré est « d’assurer la fiabilité des services de sécurité développés pour soutenir l’industrie dans la mise en œuvre de fonctionnalités de sécurité de leurs produits afin d’encourager l’élaboration d’exigences obligatoires en matière de sécurité et de confidentialité dans l’IoT » explique l’ENISA.
Une volonté politique relayée en France
Préférant manier la carotte que la bâton, l’ENISA propose de mettre en place une politique d’incitation, en valorisant les entreprises qui se mettraient aux normes et qui respecteraient le futur label, tant dans la communication que financièrement. Un grand travail sera d’ailleurs nécessaire pour développer chez les consommateurs, au niveau européen, la conscience de l’importance de la sécurité des objets connectés.
En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a profité de la présentation de son rapport annuel, le 6 juin, pour soutenir largement cette mesure et affirmer que la certification et l’étiquetage des objets connectés est une nécessité.
Il reste à transformer ces courageuses décisions en actes, en lois, en directives, en obligations. Car le temps presse, et des objets connectés mal sécurisés continuent d’être produits, à flot continu, un peu partout dans le monde.
