Depuis la sortie du premier épisode du très regardé Mister Robot, excellent support de vulgarisation en matière de numérique, rares sont ceux qui ignorent ce qu’est une attaque DDoS, ou « attaque par déni de service », c’est-à-dire l’inondation ou la saturation d’un serveur par la multiplication de requêtes simultanées, habituellement par un ou des serveurs appartenant à l’auteur de l’attaque. Mais il est beaucoup plus étonnant et inquiétant de voir ces attaques passer par des objets connectés, appartenant à des particuliers en faisant une utilisation licite et quotidienne. Or l’Internet des objets, ou « IoT » (Internet of Things), c’est-à-dire l’extension d’Internet aux objets, représente un énorme potentiel économique, autant pour les Etats-Unis ou la Chine que pour la France [1]et est à ce titre largement encouragé à se développer, et à le faire rapidement et sous toutes les formes possibles et imaginables. On peut alors poser sérieusement la question des nouvelles pratiques de cybercriminalité à travers un IoT en pleine expansion et peu sécurisé.
Avoir des objets connectés chez soi: vivre « à l’intérieur d’Internet »
Car un objet connecté ce n’est plus seulement une tablette ou un ordinateur, c’est désormais aussi votre réfrigérateur, votre voiture, la montre qui vous permet d’évaluer vos performances de course, votre système d’alarme anti-incendie ou votre thermostat à distance. Certains objets anodins ou même insolites peuvent d’ailleurs aujourd’hui être connectés et engranger des données très intimes, comme les aspirateurs, les balances ou encore les sex-toys.
Ainsi, une association de consommateurs norvégiens, dont la vidéo a été relayée en France en décembre 2016 par l’association UFC Que choisir[2], a alerté les acheteurs de poupées connectées sur la totale disponibilité des conversations enregistrées avec l’enfant non seulement à l’entreprise fabricante mais aussi à ses partenaires commerciaux :
C’est d’ailleurs là toute la problématique de la sécurité et de la confidentialité numériques des objets connectés : ceux-ci étant des objets d’une grande banalité, mais accumulant des données personnelles et importantes, ils sont créés puis adoptés de manière très naturelle, sans répondre à des exigences fondamentales de confidentialité et de sécurité, ce qui permet à n’importe quel agent malveillant de s’emparer de ces données ou de pirater l’objet et de le détourner de son usage premier. Or ces objets sont de plus en plus nombreux ; d’après Gartner, cabinet de recherche et de conseil en nouvelles technologies, il est tout à fait possible d’atteindre le chiffre de 20 milliards d’objets connectés d’ici 2020. [3]
Un IoT sans normes ni lois
De plus, les objets connectés étant une nouveauté sur le marché, la sécurité n’est qu’un paramètre mineur dans leur processus de conception et une question secondaire voire inexistante pour leurs utilisateurs. La question est pourtant d’ordre public : que se passerait-il si de petits objets connectés, introduits innocemment dans une grande infrastructure industrielle, un ministère, une institution financière ou un système de transport devenaient autant de relais pour attaquer leurs réseaux de l’intérieur ? Si la question commence à émerger dans les médias, surtout spécialisés, les questions numériques et de cybersécurité des objets sont généralement méconnues des acteurs politiques, et commencent à peine à être abordées par des commissions parlementaires[4] ou par l’armée, la gendarmerie[5] et la police.
Cette volonté de protection nationale des données personnelles accessibles grâce aux objets connectés et de la sécurisation de ceux-ci est d’autant plus problématique qu’elle touche des objets de domotique ou technologiques, et sont donc majoritairement fabriqués à l’étranger, et plus particulièrement en Chine. Or celle-ci n’a pour l’instant adopté aucune loi concernant la protection des données.
Des menaces graves de sécurité : criminalité, terrorisme, espionnage industriel
Au-delà de l’utilisation illicite voire du vol des données personnelles ou détournement « simple » (pour faire de l’objet un relai d’attaque DDoS par exemple), le risque posé par les failles de sécurité des objets connectés peut amener à de graves incidents et mettre en danger l’intégrité physique des personnes ; ainsi, le magazine WIRED a publié une vidéo dans laquelle un journaliste embarqué dans une Jeep connectée est « piratée » par des testeurs qui parviennent à contrôler et arrêter son véhicule en pleine route :
.
Il va sans dire que dans un environnement politique et social sur lequel pèse la menace terroriste, la facilité de détournement des objets connectées peut être extraordinairement lourde de conséquences. L’« Internet of Things » devient alors l’Internet of Threats » (l’Internet des menaces) : en Ukraine, le 23 décembre 2015, une bande de hackers russes a réussi à plonger dans le noir une centrale électrique en piratant ses réseaux. Si ce genre de prise d’otages est possible, il est tout à fait imaginable que des drones ou des avions entiers puissent être détournés par piratage de leurs systèmes connectés, voire via les objets connectés des passagers d’un vol, ou présents à l’aéroport.
Ainsi, s’il y a peu de chances qu’une légifération nationale ou internationale soit mise en place concernant la confidentialité et la sécurité des objets connectés dans le domaine commercial et économique, on peut espérer que ces questions soient rapidement prises en charge par les domaines de la Défense et de la Sécurité et tombent sous des législations pénales de lutte contre le terrorisme, la cybercriminalité ou le crime organisé. En attendant l’établissement de normes d’élaboration et conception des objets connectés, il appartient à leurs premiers utilisateurs, les consommateurs, de les acquérir et les utiliser avec prudence, en pleine conscience des risques encourus et de ne le faire que si nécessaire.
A écouter en podcast sur France Culture, l’excellente émission « Place de la Toile » sur ce sujet :
https://www.franceculture.fr/emissions/place-de-la-toile/linternet-des-objets
[1] https://www.entreprises.gouv.fr/politique-et-enjeux/projet-internet-des-objets-iot
[2] https://www.quechoisir.org/action-ufc-que-choisir-jouets-connectes-alerte-sur-la-securite-et-les-donnees-personnelles-n23355/
[3] https://www.gartner.com/newsroom/id/3598917
[4] http://www.assemblee-nationale.fr/14/rap-info/i4362.asp#P1208_374318
[5] https://www.gendarmerie.interieur.gouv.fr/crgn/Publications/Notes-du-CREOGN/Securite-des-objets-connectes