Sécurité dans l’internet des objets

Cambriolage virtuel dans la maison intelligente

Les appareils domestiques connectés à l’internet des objets sont autant exposés aux méfaits des hackers que n’importe quel ordinateur. Leur protection est encore trop souvent prise à la légère.

Felix Raymann (texte), 17 novembre 2016

Téléviseur, réfrigérateur, caméra de surveillance ou machine à café, dans la maison intelligente, la plupart des appareils pouvant être commandés par une app sont connectés à internet. Si cette interconnexion simplifie la vie des utilisateurs, elle recèle aussi des risques insoupçonnés. A la différence des PC, un grand nombre de ces appareils ne disposent pas de logiciel de sécurité et ne sont même pas protégés par un mot de passe.

 

Ces lacunes sont une aubaine pour les cybercriminels. Dans l’une des plus grandes attaques DDoS (Distributed Denial of Service) ayant eu lieu à ce jour, les hackers ont utilisé un grand nombre d’appareils domestiques, de caméras, de capteurs, de routeurs et de téléviseurs connectés pour paralyser au moyen d’un botnet les sites de Netflix, Twitter, Spotify et PayPal.

 

 

Thingbots: des botnets transitant par des appareils connectés

 

A la différence d’un botnet (de l’anglais «robot» et «net»), qui est opère depuis un PC à l’insu de son utilisateur, les hackers ont cette fois-ci pris le contrôle d’innombrables appareils reliés à l’internet des objets et ont ainsi réussi à générer des millions de demandes simultanées sur les sites web attaqués. En conséquence, ces sites se sont retrouvés paralysés pendant des heures.

 

 

Botnets et thingbots


A l’aide de programmes malveillants, les hackers sont en mesure de manipuler à distance un PC ou tout autre appareil connecté, pour envoyer par exemple des courriers indésirables, ou pour paralyser les serveurs de sites internet en lançant des millions d’appels en même temps. On appelle «botnet» (de l’anglais «robot» et «net ») un groupe formé par ces ordinateurs pilotés à distance. Si le piratage vise des appareils domestiques, des routeurs, des capteurs ou tout autre appareil de ce genre, on parle de «thingbot».

 

 

 

A partir des appareils reliés à l’internet des objets (Internet of Things, IoT), il est possible d’exploiter de gigantesques «thingnets» servant à pirater des données sensibles ou à propager des programmes malveillants (maliciels). Tous les appareils connectés, et en particulier les apps avec lesquelles on les contrôle, récoltent des données personnelles, des informations sur les habitudes de l’utilisateur ou des images de caméras d’observation ou de babyphones.

 

 

Dans la plupart des ménages modernes, on trouve plusieurs appareils en réseau.  

 

 

Comment se protéger

 

Etant donné que de nombreux utilisateurs d’appareils connectés n’utilisent aucun mot de passe ou le mot de passe standard du fabricant, c’est un jeu d’enfant pour les hackers de s’y introduire pour les manipuler. «Ce qui est primordial, c’est que les appareils domestiques connectés soient bien protégés contre les intrusions», explique Burkard Stiller, professeur à l’institut d’informatique de l’université de Zurich et responsable du groupe de recherche sur les systèmes de communication (CSG). «Pour le routeur et les systèmes de l’installation domotique, on devrait impérativement disposer d’un firewall à jour et utiliser des mots de passe personnalisés et complexes.»  

«A l’instar de la serrure de la porte d’entrée d’une maison, ces mesures de protection réussissent à dissuader la plupart des intrus.»

Burkhard Stiller, professeur à l’institut d’informatique de l’université de Zurich

Tous les appareils connectés sont dotés d’une adresse IP individuelle, ce qui les rend accessibles pour d’autres appareils. En règle générale, ces adresses sont toutefois attribuées de manière dynamique à partir d’une plage d’adresses IP à l’intérieur d’un réseau domestique, ce qui les isole de l’extérieur. Il n’en demeure pas moins que leur protection doit être renforcée. «A l’instar de la serrure de la porte d’entrée d’une maison, ces mesures de protection réussissent à dissuader la plupart des intrus», conclut Burkard Stiller.

 

 

Webcams suisses piratées

 

Il existe de nombreux exemples d’appareils domestiques piratés. Des hackers ont notamment réussi à s’introduire dans des milliers de webcams dans le monde entier – dont 141 en Suisse – et à en extraire des images, qui ont été publiées sur une page internet russe. Le public pouvait ainsi espionner en direct les salles de séjour, les jardins et les chambres d’enfants des maisons dont les installations de surveillance avaient été piratées.

 

 

Les hackers peuvent non seulement utiliser les caméras de surveillance et les webcams à des fins d’espionnage, mais aussi les babyphones avec une caméra intégrée.

 

 

Certaines fuites de données, qui ne sont pas spectaculaires au premier abord, peuvent avoir des conséquences très fâcheuses. Par exemple lorsque la commande du chauffage renseigne un hacker sur les absences des habitants d’une maison. L’intrusion virtuelle peut alors se transformer en effraction perpétrée par de véritables cambrioleurs.

 

 

Aucun standard de sécurité

 

Une étude menée par HP Security Research a démontré que les fabricants d’appareils connectés à l’internet des objets négligent encore des principes de sécurité pourtant déjà indispensables depuis vingt ans dans le monde des ordinateurs.

«Dans l’internet des objets, vu la variété des types d’appareils, il n’existe pas encore de standards reconnus et de directives de sécurité certifiées.»

Burkhard Stiller, professeur à l’institut d’informatique de l’université de Zurich

Il n’est certes pas toujours possible de transposer les mêmes standards de sécurité aux gadgets de l’installation domotique, d’autant moins que nombre de ces appareils doivent leur succès à la simplicité de leur installation. La mise en place d’un firewall devant régulièrement être actualisé serait perçue comme une barrière considérable. «Dans l’internet des objets, vu la variété des types d’appareils, il n’existe pas encore de standards reconnus et de directives de sécurité certifiées», rappelle Burkhard Stiller.

 

 

Appareils Bluetooth et voitures piratées

 

Lors des tests de sécurité, il a été possible de pirater des ordinateurs via des souris sans fil et, ainsi de modifier des mouvements et des clics.  

 

 

Les dispositifs Bluetooth ne sont guère plus protégés contre les attaques. Et même si les risques d’abus sont ici bien moins élevés, les experts en sécurité ont pu démontrer par des tests que la plupart des souris de PC pouvaient facilement être piratées. Pour y arriver, les hackers doivent toutefois se trouver à proximité de l’objet visé.

 

Dans les entreprises, de telles lacunes de sécurité peuvent être problématiques. Selon une étude de l’institut d’étude des marchés Gartner, en l’an 2020 plus de 25 pour cent des cyberattaques seront dirigées contre l’internet des objets.

 

On estime en outre que d’ici 2020, 50 milliards d’objets seront déjà connectés à internet. Un grand nombre d’entre eux peuvent déjà être localisés par des moteurs de recherche comme Shodan spécialisé dans l’IoT. Parmi ces objets connectés, on dénombre aussi des «wearables» tels que des bracelets de fitness ou même des voitures, qui sont aussi exposés aux risques de piratage comme l’ont prouvé les tests des chercheurs. Il leur a ainsi été possible de s’introduire à distance dans le système de direction d’un SUV, de mettre ses freins hors service ainsi que d’enclencher sa climatisation et sa radio. Ce qui est impératif pour les voitures vaut déjà depuis longtemps pour les PC et les smartphones: garder le logiciel à jour et protéger les systèmes avec des mots de passe sécurisés.

 

 

 

Comment protéger des appareils connectés

 

  • Utiliser des mots de passe sécurisés: tout comme pour le compte e-mail ou pour le PC, il convient de protéger ses appareils connectés par des mots de passe sécurisés, c’est-à-dire comportant des majuscules et des minuscules ainsi que des chiffres et des caractères spéciaux. Il arrive souvent que les dispositifs reçoivent d’office un mot de passe standard. Il faut absolument le modifier et veiller à utiliser pour chaque appareil un mot de passe distinct.
  • Eviter de mettre en service des appareils disposant d’un mot de passe d’administrateur non modifiable.
  • Désactiver l’automatisme: arrêter la fonction UPnP (Universal Plug and Play) du routeur. Cette dernière permet en effet à des appareils extérieurs de se connecter automatiquement.
  • Mettre à jour les logiciels: tous les appareils domestiques connectés, les webcams, les voitures et le routeur etc. doivent disposer en permanence des logiciels et des firmwares actuels. Quand on possède une multitude d’appareils IoT, ces opérations peuvent être relativement complexes.
  • Limiter les droits d’accès: les dispositifs pouvant être télécommandés par une app de smartphone disposent souvent d’un trop grand nombre de droits d’accès. Désactivez les paramètres de l’app permettant l’accès à des données sensibles du smartphone ou à certaines fonctions. Pour la plupart des applications, il est absolument inutile qu’elles puissent accéder au service de localisation, aux contacts, à la caméra ou au microphone.
  • Les firewalls devraient être configurés de telle sorte que seul un appareil enregistré (p. ex. le smartphone) puisse accéder aux appareils connectés de la maison.

 

Swisscom et l’IoT

Pour les entreprises, l’Internet of Things offre la possibilité d’automatiser les processus. Swisscom est le premier opérateur à mettre en place un Low Power Network destiné à l’internet des objets.

 

Cybersécurité

Lisez le rapport sur les menaces actuelles et leur évolution.

 

 

 

 

Participez à la discussion

 

Avez-vous des appareils connectés chez vous? Comment vous protégez-vous des hackers?

 

Nous vous remercions de votre contribution. Nous publions vos commentaires du lundi au vendredi.