Le piratage et l’utilisation des données, des risques à prendre très au sérieux

Véritable révolution industrielle, le secteur des objets coectés a cou une croissance impressioante ces deux dernières aées. Il en existe pour tous les usages et pour toutes les bourses, allant du frigo coecté aux bracelets pour mesurer l’exposition aux UV, en passant par la voiture communicante. Les objets coectés envahiront bientôt notre quotidien, nous permettant d’interagir avec eux en temps réel et pour des usages variés. La révolution de l’internet mobile ne s’est pas faite en douceur. On était habitué jusque-là à des iovations par améliorations successives de l’ancêtre WAP, mais c’était sans compter sur l’arrivée brutale de l’iPhone et d’Androïd, qui ont bouleversé le marché. Même constat concernant l’IoT (Internet of Things), qui constitue une rupture importante. La coectivité s’adapte aujourd’hui aux usages et permet de rendre communicant chaque objet de notre quotidien.

L’IoT prolifère
Encore au stade de discussions et d’expérimentations il y a peu, les prévisions pour 2015 laissent perplexe : selon une étude de l’institut GFK, le marché de l’Internet des Objets devrait atteindre un chiffre d’affaires de 400 millions d’euros pour l’aée 2015. Les objets coectés sont devenus un secteur stratégique, fait assimilé par la plupart des géants de l’internet, lancés dans une course aux rachats. L’an dernier, Google a déboursé la somme impressioante de 3,2, milliards de dollars pour racheter Nest Labs, start-up fabricant le premier thermostat coecté ainsi que Dropcam (caméra coectée) et Revolv (Smart Home). Et les exemples sont nombreux, comme Intel, qui s’est offert Basis début mars, le spécialiste des objets coectés pour la somme de 100 millions de dollars et Samsung qui a racheté SmartThings, une plateforme pour objets coectés. Un secteur très porteur, qui devrait poursuivre sa croissance exponentielle pour un parc prévu en 2020, de 50 à 80 milliards d’objets coectés dans le monde.

Il en existe de toutes sortes, pour n’importe quelle utilisation, allant des applications médicales au contrôle d’accès, parfois portés à même le corps. Ces objets, truffés de capteurs, jouent le rôle de périphériques et communiquent à distance avec un smartphone, une tablette ou une box ADSL servant de « hub ». Ces derniers traitent les informations fournies par les objets eux-mêmes. Il en découle donc une foultitude de doées diverses, dont une partie est stockée dans l’objet et une autre transmise à l’unité centrale. Des doées qui offrent à un utilisateur d’objets coectés un aperçu sur ses consommations diverses, ses aptitudes sportives, son état de santé, ou encore ses déplacements. Seul problème, si l’utilisateur a accès à ces doées, il n’est pas le seul. Qu’il s’agisse d’un hacker ou même d’un opérateur, ces doées sont récupérables et exploitables si elles ne sont pas sécurisées.

Des risques à considérer
Parmi les cas de piratage effectifs, l’un des plus remarquables est celui observé il y a moins d’un an, sur un réfrigérateur coecté : un jour, cette famille sans histoires a eu la surprise de recevoir une visite de la police à son domicile. La raison évoquée, la présence d’un site pédophile, hébergé au sein du domicile. Après perquisition de l’ensemble du matériel informatique de cette famille coectée, le signal persiste. En réalité, des hackers ont utilisé le serveur du frigo coecté pour héberger le site. Un exemple encore sans trop de conséquences et qui peut décrocher un sourire, mais l’histoire peut se terminer beaucoup plus violemment parfois. Dans certains cas, surtout en ce qui concerne les intrusions dans un bâtiment ou un véhicule par exemple, l’infraction ne peut pas être constatée par les experts, car il s’agit en fait d’une cyber-infraction, sans marques physiques. Compte tenu de cette impossibilité à constater l’infraction, il est possible pour une compagnie d’assurance de se retourner contre l’assuré pour fraude, sans que ce dernier ne puisse se défendre.

Risque pour les usagers
Parmi les possibilités d’attaques ou d’utilisation de doées observées par piratage, deux types se distinguent. La sécurité des persoes d’abord, constitue le facteur de risque le plus important. Il est induit par la prise de contrôle par un hacker d’un objet coecté, lui permettant de l’utiliser à sa guise à la place de son utilisateur. Par exemple, beaucoup de contrôles d’accès déployés dans nos bâtiments ne résistent pas à des attaques de ce type. D’après Gildas Avoine, Professeur en cryptologie et en sécurité informatique à l’INSA Rees, un tel piratage est assez simple : « J’ai fait faire l’expérience à des étudiants sur un système de contrôle d’accès. Ils sont partis avec une coaissance proche de 0 sur ce type de système. En quelques jours, ils avaient réussi à faire un clone de la carte d’accès. » Pourtant, toutes les protections ne se valent pas et dans certains cas, le dispositif montre un peu plus de résistance : « Il y a certains systèmes que l’on sait faibles. Si vous prenez un système qui a déjà été cassé, vous téléchargez les outils sur internet et vous entrez dedans. Par contre, si vous prenez un système qui n’est pas encore cassé, ça va demander un travail lourd pour essayer de le casser et les étudiants en seraient certainement incapables. Malheureusement, en termes de contrôle d’accès, la majorité des systèmes que l’on trouve sur le marché sont faibles. »
Il est également possible de prendre le contrôle d’une voiture ou du système de contrôle d’accès d’un bâtiment, par le biais d’une simple « attaque par relais », menée par un hacker. Cette attaque consiste à relayer la communication entre le lecteur du contrôle d’accès et la carte d’accès, à l’aide par exemple de deux téléphones portables : l’un est situé à côté du lecteur pendant que l’autre est à côté de la carte de la victime, par exemple lorsque cette dernière laisse son portefeuille dans sa veste au vestiaire.

Risque pour la doée
Vient ensuite le problème de la sécurité des doées des consommateurs d’objets coectés. Prenons le cas par exemple d’un bâtiment, dont les consommations et les usages divers sont surveillés et analysés par un dispositif de comptage intelligent (smart metering). Les informations fournies par un tel dispositif sont gardées un certain temps par l’objet (compteur), ou la carte et par le serveur avec lequel il communique. Selon Gildas Avoine, c’est sur ce point qu’il serait possible d’apporter certaines améliorations : « Aujourd’hui la vraie question qu’il faut se poser est : a-t-on vraiment besoin de garder ces informations à ces endroits ? Si vous êtes intégrateur, fabricant et que vous mettez sur le marché une solution, c’est la première question qu’il est nécessaire de se poser. » Il faut donc séparer les doées primordiales, essentielles au fonctioement de l’objet et les doées privées, issues de l’utilisation de l’objet par le consommateur. Concernant les doées primordiales, il est possible de les sécuriser par chiffrement. Pour les doées privées, la façon la plus sûre de les sécuriser est donc de les détruire ou de les transmettre à l’unité centrale dans un délai assez court après leur apparition.

Risque d’utilisation des doées
La doée est aujourd’hui une ressource qui vaut cher. Il est donc tout à fait possible pour un opérateur d’objets coectés de récupérer l’ensemble des doées de consommation quelles qu’elles soient, pour les réutiliser, ou pire, les revendre. Cette question est d’ailleurs un point essentiel et les entreprises du secteur en sont souvent conscientes, comme nous l’explique Dimitri Carboelle, fondateur de Livosphere : « Si les entreprises surveillent leurs clients, elles savent que persoe n’achètera leurs produits. Nest ne fournira pas ses doées à Google, sauf en cas d’acceptation de la part de l’utilisateur. C’est le consommateur qui a la maîtrise de ses doées, il lui appartient donc d’y prendre soin et de ne pas les partager n’importe comment et avec n’importe qui. » Le problème avec les objets coectés est donc le même que pour Internet ou Facebook. Il est également nécessaire pour éviter les risques, de préférer à des produits peu cous, ceux développés par des entreprises établies et coues.

Une question de volonté
« Le traitement sérieux de la question du piratage dépend de la volonté du fabricant et des moyens techniques qu’il est prêt à mettre en place », explique Pierre de Beaucorps, président et co-fondateur de la start-up Domora. En effet, la question de la sécurité dépend du bon vouloir des entreprises, mais est également confrontée à un principe de réalité. Depuis quelques aées, de petites entreprises germent un peu partout dans ce secteur en pleine expansion. Aux vu des coûts de développement de ces objets high-tech, il en va de la réussite financière d’une start-up de mettre sa solution sur le marché la plus rapidement possible, pour rentabiliser son investissement. Point confirmé par Gildas Avoine, qui apporte une précision : « De manière générale, la sécurité s’améliore dans l’informatique ubiquitaire. C’est la prolifération des objets communicants et des solutions qui font exploser les risques. » Avant d’ajouter : « Ce que l’on trouve sur le marché aujourd’hui a un niveau de sécurité relativement faible. Il est possible de faire beaucoup mieux. »

L’obligation de sécuriser l’usage et les doées de ces objets coectés
« Pour le moment il n’existe aucune contrainte législative portant sur l’utilisation des doées des usagers par les fabricants, cette question dépend donc du bon-vouloir des exploitants. » Explique Pierre de Beaucorps. En effet, si la CNIL oblige les entreprises à faire une demande auprès des consommateurs au sujet de l’utilisation des doées nominatives, rien n’est prévu aujourd’hui concernant l’utilisation des doées générales. Il est donc possible pour un fabricant de savoir comment, quand, et à quelle fréquence le consommateur fait usage de sa solution, permet pour le cas d’un réfrigérateur de savoir ce qu’il consomme… En revanche, la CNIL travaille activement pour poser très prochainement un cadre législatif à l’usage et réutilin de ces doées. Bref, si ces informations sont évidemment moins sensibles pour les consommateurs, elles peuvent constituer une mae pour les exploitants. Mais selon Dimitri Carboelle, les entreprises auraient tort de s’y risquer : « Quand un exploitant utilise les doées de ses consommateurs ou les revend à leur insu, ça finit toujours par se savoir et provoquera la fuite de ses clients. La question de la confiance est essentielle pour les entreprises et la plupart l’ont bien compris. »

D’un autre côté, il est important de rappeler que certaines doées permettent à l’exploitant d’améliorer son système et d’offrir davantage de services à l’utilisateur. Certaines informations sont donc nécessaires pour une utilisation optimale du produit. La question de la confiance entre l’exploitant et l’utilisateur quant à l’utilisation des doées est donc un point clé et un équilibre fragile qu’il convient de respecter.

Les solutions pour se prémunir contre le piratage
Avant toute chose, il faut savoir que la manière la moins onéreuse de mettre en place un système de sécurité, est de le prévoir au moment de la conception de l’objet coecté. Sinon, il est possible d’améliorer sensiblement le niveau de sécurité en optimisant la gestion des informations présentes dans les serveurs ou les objets coectés eux-mêmes. Enfin, pour les informations nécessaires au fonctioement de l’objet, il est préférable de mettre en place un système de sécurité renforcé et de chiffrement des doées ou encore de sécurisation de leur transmission par l’envoi d’informations parcellaires. Mais inutile de rappeler que cela ne fait que compliquer le travail d’un pirate qui dans la plupart des cas, s’il le veut vraiment, parviendra à s’introduire dans la plupart des systèmes de sécurité. Dans le cas des objets coectés, un élément vient compliquer le problème : chaque application est un cas particulier. Il est ainsi difficile de mettre en place un système de sécurité générique, applicable à l’ensemble des objets coectés ou des serveurs.
Si la théorie semble inquiétante, la pratique l’est souvent un peu moins. Le nombre de cas effectifs de piratage reste encore relativement faible. Mais à en croire Dimitri Carboelle, « il risque d’y avoir cette aée des hackings massifs d’objets coectés », principalement en raison des faibles niveaux de protection et de leur prolifération impressioante. Nous sommes donc dans une phase de transition. A l’image des ordinateurs, les objets coectés seront nettement plus protégés dans quelques aéesLa question de la sécurité de ces nouveaux venus du monde de la high-tech est donc une question qu’il est nécessaire de traiter convenablement. C’est d’ailleurs une des principales questions sur laquelle la sélection devrait se faire, entre les entreprises qui vont prendre de l’importance et celles qui vont disparaître dans l’aée ou les quelques aées à venir.

L’agence de conseil The Links a réalisé une étude afin de fournir un aperçu du marché des objets coectés.

Il ressort de cette étude que:

68% des Français ont l’intention d’acheter un objet coecté. Parmi eux, 59% le feraient pour équiper leur auto, 56% pour équiper leur maison, 52% pour une utilisation multimedia, et 47% pour surveiller leur santé ;

43% sont curieux, 27% dubitatifs, 11% craintifs, 9% réfractaires,  et 10% seulement se sentent enthousiastes ;

Pour 89% du panel interrogé, « les objets coectés peuvent rendre des services intéressants » et 83% affirment que les objets coectés « vont s’ancrer durablement dans notre quotidien ».

Cependant, ils peuvent être perçus comme un danger pour la santé (69% des interrogés) ou facteur d’une certaine intrusion dans la vie privée (76%).