Depuis la sortie du premier pisode du trs regard Mister Robot, excellent support de vulgarisation en matire de numrique, rares sont ceux qui ignorent ce quest une attaque DDoS, ou attaque par dni de service, cest--dire linondation ou la saturation dun serveur par la multiplication de requtes simultanes, habituellement par un ou des serveurs appartenant lauteur de lattaque. Mais il est beaucoup plus tonnant et inquitant de voir ces attaques passer par des objets connects, appartenant des particuliers en faisant une utilisation licite et quotidienne. Or lInternet des objets, ou IoT (Internet of Things), cest--dire lextension dInternet aux objets, reprsente un norme potentiel conomique, autant pour les Etats-Unis ou la Chine que pour la France [1]et est ce titre largement encourag se dvelopper, et le faire rapidement et sous toutes les formes possibles et imaginables. On peut alors poser srieusement la question des nouvelles pratiques de cybercriminalit travers un IoT en pleine expansion et peu scuris.
Avoir des objets connects chez soi: vivre lintrieur dInternet
Car un objet connect ce nest plus seulement une tablette ou un ordinateur, cest dsormais aussi votre rfrigrateur, votre voiture, la montre qui vous permet dvaluer vos performances de course, votre systme dalarme anti-incendie ou votre thermostat distance. Certains objets anodins ou mme insolites peuvent dailleurs aujourdhui tre connects et engranger des donnes trs intimes, comme les aspirateurs, les balances ou encore les sex-toys.
Ainsi, une association de consommateurs norvgiens, dont la vido a t relaye en France en dcembre 2016 par lassociation UFC Que choisir[2], a alert les acheteurs de poupes connectes sur la totale disponibilit des conversations enregistres avec lenfant non seulement lentreprise fabricante mais aussi ses partenaires commerciaux:
Cest dailleurs l toute la problmatique de la scurit et de la confidentialit numriques des objets connects: ceux-ci tant des objets dune grande banalit, mais accumulant des donnes personnelles et importantes, ils sont crs puis adopts de manire trs naturelle, sans rpondre des exigences fondamentales de confidentialit et de scurit, ce qui permet nimporte quel agent malveillant de semparer de ces donnes ou de pirater lobjet et de le dtourner de son usage premier. Or ces objets sont de plus en plus nombreux; daprs Gartner, cabinet de recherche et de conseil en nouvelles technologies, il est tout fait possible datteindre le chiffre de 20 milliards dobjets connects dici 2020. [3]
Un IoT sans normes ni lois
De plus, les objets connects tant une nouveaut sur le march, la scurit nest quun paramtre mineur dans leur processus de conception et une question secondaire voire inexistante pour leurs utilisateurs. La question est pourtant dordre public: que se passerait-il si de petits objets connects, introduits innocemment dans une grande infrastructure industrielle, un ministre, une institution financire ou un systme de transport devenaient autant de relais pour attaquer leurs rseaux de lintrieur? Si la question commence merger dans les mdias, surtout spcialiss, les questions numriques et de cyberscurit des objets sont gnralement mconnues des acteurs politiques, et commencent peine tre abordes par des commissions parlementaires[4] ou par larme, la gendarmerie[5] et la police.
Cette volont de protection nationale des donnes personnelles accessibles grce aux objets connects et de la scurisation de ceux-ci est dautant plus problmatique quelle touche des objets de domotique ou technologiques, et sont donc majoritairement fabriqus ltranger, et plus particulirement en Chine. Or celle-ci na pour linstant adopt aucune loi concernant la protection des donnes.
Des menaces graves de scurit: criminalit, terrorisme, espionnage industriel
Au-del de lutilisation illicite voire du vol des donnes personnelles ou dtournement simple (pour faire de lobjet un relai dattaque DDoS par exemple), le risque pos par les failles de scurit des objets connects peut amener de graves incidents et mettre en danger lintgrit physique des personnes; ainsi, le magazine WIRED a publi une vido dans laquelle un journaliste embarqu dans une Jeep connecte est pirate par des testeurs qui parviennent contrler et arrter son vhicule en pleine route:
.
Il va sans dire que dans un environnement politique et social sur lequel pse la menace terroriste, la facilit de dtournement des objets connectes peut tre extraordinairement lourde de consquences. LInternet of Things devient alors lInternet of Threats (lInternet des menaces): en Ukraine, le 23 dcembre 2015, une bande de hackers russes a russi plonger dans le noir une centrale lectrique en piratant ses rseaux. Si ce genre de prise dotages est possible, il est tout fait imaginable que des drones ou des avions entiers puissent tre dtourns par piratage de leurs systmes connects, voire via les objets connects des passagers dun vol, ou prsents laroport.
Ainsi, sil y a peu de chances quune lgifration nationale ou internationale soit mise en place concernant la confidentialit et la scurit des objets connects dans le domaine commercial et conomique, on peut esprer que ces questions soient rapidement prises en charge par les domaines de la Dfense et de la Scurit et tombent sous des lgislations pnales de lutte contre le terrorisme, la cybercriminalit ou le crime organis. En attendant ltablissement de normes dlaboration et conception des objets connects, il appartient leurs premiers utilisateurs, les consommateurs, de les acqurir et les utiliser avec prudence, en pleine conscience des risques encourus et de ne le faire que si ncessaire.
A couter en podcast sur France Culture, lexcellente mission Place de la Toile sur ce sujet:
https://www.franceculture.fr/emissions/place-de-la-toile/linternet-des-objets
[1] https://www.entreprises.gouv.fr/politique-et-enjeux/projet-internet-des-objets-iot
[2] https://www.quechoisir.org/action-ufc-que-choisir-jouets-connectes-alerte-sur-la-securite-et-les-donnees-personnelles-n23355/
[3] https://www.gartner.com/newsroom/id/3598917
[4] http://www.assemblee-nationale.fr/14/rap-info/i4362.asp#P1208_374318
[5] https://www.gendarmerie.interieur.gouv.fr/crgn/Publications/Notes-du-CREOGN/Securite-des-objets-connectes