Si la médiatisation des enjeux de cybersécurité pour les systèmes d’information des entreprises n’a jamais été aussi importante, la dépendance grandissante aux environnements connectés – smart home et smart office – interroge sur ces nouvelles fragilités face aux cyberattaques. 

Le 9 novembre 2017, le producteur et journaliste Edouard Marquis a vu sa maison être déconnectée. Il tweete : « Ce matin, impossible d’ouvrir mes volets, mon alarme, ma porte, retour au manuel, toute ma maison est down… » Et décrit comment il essaye de retrouver les piles de la télécommande qu’il n’utilise plus depuis cinq ans pour rouvrir ses volets.

Nous sommes en plein milieu de la panne monstre que connait alors l’hébergeur OVH et qui rend indisponible de nombreux sites Internet et leurs services. Parmi eux : Tahoma, la box de domotique « smart home » du groupe industriel français Somfy.

Au final, la mésaventure prêtera à sourire car la gêne pour Edouard Marquis semble avoir été bénigne.

Et la lumière fût… Mes 80 points connectés (volets, lampes, alarme, porte…) remarchent. TaHoma a bien redémarré en même temps que @OVH ! C'était donc ça… #OVHGATE @Somfyfr

— Edouard Marquis ن (@edonline) November 9, 2017

Elle indique cependant en filigrane la dépendance de plus en plus importante de nos environnements de vie, domicile ou bureau, au numérique. Comme tout smartphone, ordinateur ou autres objets connectés, les smart buildings sont en effet sensibles aux pannes… et aux problèmes de réseau. Des pannes d’un autre genre qui obligent les professionnels du bâtiment et de l’énergie à repenser leurs approches. Ainsi, le smart building fait partie depuis 2016 des sujets de fond discuté par exemple dans le cadre du « Club EcoXpert » animé par Schneider Electric, qui regroupe les partenaires installateurs, tableautiers, bureaux d’études, de l’industriel – confrontés aux nouvelles réalités numérique du terrain. En 2017, un nouveau sujet a fait son apparition lors des débats du club : la cybersécurité. Depuis l’été, une nouvelle formation « flash » y est même consacré. 

Inquiétudes des chercheurs en cybersécurité

En effet, le caractère connecté des bâtiments ne manque pas ces dernières années d’attiser les intérêts de criminels et de multiplier les possibilités de malveillances. De nombreux chercheurs démontrent qu’il est par exemple possible techniquement de reproduire volontairement la panne à laquelle a été confrontée Edouard Marquis à son domicile. Sans être une réalité quotidienne, les cyberattaques, les sabotages sur les objets connectés qui composent les smart home ou smart office, smart building… sont loin d’être de la fiction.

Tout comme Wannacry ou NotPetya ont rendu inopérant des systèmes d’information d’entreprise durant le printemps et l’été 2017, les demandes de rançons sont une opportunité notable pour des criminels. Parmi les scénarios imaginés, la prise du contrôle d’un thermostat avec la menace d’élever fortement la température, par exemple.

Au-delà des demandes de rançons, de la récupération d’informations personnelles ou d’attaques sur l’image de marque, les criminels utiliseront l’hyper-connectivité des environnements afin de constituer des myriades d’objets connectés en botnet. Ces réseaux d’appareils « zombies » mettront alors leur puissance combinée au service d’attaques massives, par exemple pour réaliser une attaque par déni de service distribuée (DDoS). C’est ce qui s’est passé fin 2016 avec l’attaque sur le service DNS de la société Dyn, par l’intermédiaire du malware Mirai, qui a fait chuter une partie du web. Des milliers de caméras connectées avaient alors servies de catalyseur à l’attaque. Frigo et ampoules connectés peuvent évidemment être comptés comme autant de soldats potentiels d’une telle armée de zombies.

Les ampoules connectées, qui concernent de plus en plus à la fois les bâtiments des particuliers et des professionnels, font l’objet d’une attention particulière. Olivier Potin, maître assistant au département « systèmes et architectures sécurisées » de l’école des Mines de Saint-Etienne, décrit pourquoi il s’agit d’un cas d’école : « Outre l’effet d’échelle fourni par Internet, elles ont deux autres avantages pour les criminels. Ce sont des objets à bas coût que les fabricants ne sécurisent pas ou peu, principalement pour des raisons économiques. Et ce sont des objets facilement accessibles, ce qui permet aux attaquants de mener de nombreux tests. »

Les fabricants en première ligne

Un cas démontre d’ailleurs la créativité dont il est possible de faire preuve quand on associe Internet des objets et cybermenaces. Dans « IoT goes Nuclear : creating a Zigbee Chain Reaction » un travail de recherche* paru cette année, la fragilité des ampoules connectées de la gamme Philips Hue a ainsi été décortiquée par des chercheurs. Parmi les mesures de sécurité mises en place par le fabricant : le fait que les mises à jour over the air du firmware des ampoules ne peuvent se faire que dans un rayon très proche de l’objet mais aussi un chiffrement AES qui permet de « signer » les éventuelles mises à jour comme légitimes. Cela ne suffira pas : après s’être procuré une ampoule, les attaquants peuvent déterminer qu’au moins un type de mise à jour compte une faille qui permet de la réaliser totalement à distance. Quant au chiffrement, relativement simple, il est possible d’en déduire la clé en « écoutant l’activité électrique » de l’ampoule, du fait de sa capacité de calcul très primaire. Attaquer à distance une seule ampoule permet ensuite en lui injectant un firmware corrompu de déclencher un effet de chaîne sur toutes les autres lampes à proximité – jusqu’à couvrir potentiellement une ville entière.

Les utilisateurs de smart home et de smart building sont donc appelés à la vigilance – mais il est illusoire de leur attribuer l’unique responsabilité des objets connectés présents dans leurs environnements. Les fabricants réagissent-ils pour autant ? La prise de conscience est lente, même si certains – en France notamment – ont pris le sujet à bras le corps. « Nous ne sommes pas encore poussés ni par nos clients, ni par la législation, mais tous les capteurs et objets connectés que nous déployons seront encore présents sur le terrain dans 10 ans. En abordant le sujet de la sécurité dès à présent, c’est le futur de notre activité, de notre réputation, que nous cherchons à préserver », a ainsi témoigné lors des Assises de la Sécurité, Stéphane Gervais, directeur de l’innovation stratégique du Lacroix Group, un équipementier spécialiste des infrastructures d’eau et d’énergie. Le parti-pris d’une telle ETI reste cependant rare. Comme souvent avec les sujets de cybersécurité, il y a fort à parier qu’il faudra attendre un sabotage et un drame particulièrement grave pour décider les acteurs à faire bouger les lignes.

*Réalisé par les chercheurs Eyal Ronen, Colin O’Flynn, Adi Shamir et Achi-Or Weingarten

>> Cet article fait partie du dossier  » Smart Building / Smart Home : le tout-connecté en toute sécurité «