Dans le monde de l’IoT, les innovations s’enchaînent. Ces objets connectés, et interconnectés, soulèvent de nombreuses inquiétudes en termes de cybersécurité. Parce qu’ils sont généralement peu sécurisés, ils deviennent une cible de choix pour les pirates informatiques, qui les utilisent fcomme porte d’entrée vers un réseau, les autres systèmes et dispositifs qui y sont connectés et les données qui y sont stockées.

Les objets intelligents sont une tendance mondiale

L’IDATE DigiWorld estime qu’il y avait 11,2 milliards d’objets connectés dans le monde en 2017, et prévoit une croissance de 10% par an pour atteindre les 35 milliards en 2030^[1]. Selon les prédictions 2018 de Gartner, les technologies IoT seront présentes dans 95% de l’électronique utilisée pour la conception de nouveaux produits d’ici à 2020^[2].

Ces dispositifs sont alimentés par un ensemble de capteurs – microphones, caméras, GPS, accéléromètres, thermomètres, baromètres, etc. Ces derniers recueillent constamment de l’information sur leur environnement, parfois données personnelles et sensibles, pour donner le meilleur de leurs fonctionnalités.

Les préoccupations liées à la sécurité de l’IoT sont nombreuses

Le nombre croissant d’objets connectés et la nature des données qu’ils collectent soulèvent de nombreuses préoccupations. D’une part, les réseaux domestiques ne disposent ni des pare-feux sophistiqués, ni des systèmes de détection des intrusions généralement présents dans les entreprises. Et les consommateurs ne suivent pas toujours les meilleures pratiques en matière de sécurité, comme la modification des mots de passe par défaut.

Les dispositifs IoT ont par ailleurs souvent un cycle de vie matériel court, avec une réduction des vulnérabilités peu ou pas assurée en continu par le fournisseur. Les consommateurs peuvent ainsi présumer que la sécurité est garantie par le constructeur, ce qui n’est que rarement le cas. Et même lorsque des correctifs de sécurité sont mis à disposition, peu d’utilisateurs les déploieront s’ils doivent le faire manuellement – car pourquoi « réparer » quelque chose qui n’est pas cassé ?

Egalement, les dispositifs comme les webcams peuvent nécessiter la mise en place de règles de routage pour permettre l’accès à partir d’Internet, ce qui en fait une cible particulièrement facile.

Certaines vulnérabilités de l’IoT ont déjà été révélées ou exploitées, comme le botnet Mirai, qui a piraté et utilisé la puissance de calcul d’objets connectés pour lancer des cyberattaques en 2016 ; ou encore les piratages publics, sous forme de bancs d’essai médiatisés, de différentes marques de véhicules connectés. Ce ne sont que des exemples parmi d’autres, et probablement que la partie émergée de l’iceberg.

Une sécurité variable selon les constructeurs

Parce que la compétition est rude, les acteurs de l’IoT ne cessent d’innover, favorisant une mise sur le marché rapide, souvent au détriment de la sécurité. Dans ses prédictions 2018, Gartner prévoit ainsi que d’ici à 2022, la moitié du budget de sécurité de l’IoT sera dépensée de manière réactive (pour résoudre des problèmes et effectuer des rappels de produits), plutôt que proactive (pour intégrer la sécurité dès la conception).

D’un point de vue plus positif, des mesures sont actuellement prises pour instaurer une politique réglementaire visant à définir un niveau minimal de sécurité pour l’IoT. Bien entendu, le grand défi sera de parvenir à une adoption et une application de ces mesures à l’échelle internationale.

Que pouvons-nous faire en attendant ?

Ces quelques statistiques, particulièrement pertinentes pour l’IoT, nous apportent des réponses quant à la manière de protéger nos objets connectés des cyberattaques : 81% des brèches dues à un piratage impliquent le vol de mots de passe, ou des mots de passe trop faibles^[3] ; 73% des utilisateurs se servent du même mot de passe pour sécuriser différentes connexions^[4] ; 90% des demandes de connexion proviennent d’attaques par « credentials stuffing », une pratique qui consiste à tester des identifiants volés sur plusieurs sites pour pirater les comptes utilisant les mêmes identifiants.

La première approche de la cybersécurité de l’IoT consiste donc à adopter une bonne gestion des mots de passe (à commencer par ne pas réutiliser les mêmes mots de passe pour différentes connexions) et, plus généralement, d’être conscient des riques. Il est également essentiel de déployer systématiquement les mises à jour de sécurité fournies par le constructeur. Toutefois, il est important de noter que tous les dispositifs IoT ne peuvent pas être patchés, ou que la manœuvre peut être compliquée et nécessiter certaines connaissances techniques.

Enfin, propagez la bonne parole : assurez-vous que vos amis, votre famille et vos collègues sont conscients des risques de sécurité des objets connectés et encouragez-les à utiliser de bonnes pratiques de cyberhygiène pour minimiser les risques.

^[1] IoT Markets, IDATE DigiWorld

^[2] Top Strategic Predictions for 2018 and Beyond, Gartner

^[3] 2017 Data Breach Investigations Report, Verizon

^[4] 10 stats that reveal the changing face of IT security, Microsoft