MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Enceinte connectée, tablette, smartphone, babyphone, ou tout autre équipement intelligent de nos habitations : ce sont autant d’objets connectés qui se cachent derrière ces cadeaux de Noël High Tech. Face à des risques cyber de plus en plus prégnants, sur quels critères de sécurité faut-il baser ses choix ?
Alors que la norme CE est connue depuis longtemps du grand public, emblématique notamment à la période de Noël, car elle permet de s’assurer qu’un jouet pour enfant est conforme aux normes de sécurité, la cybersécurité des objets connectés demeure, quant à elle, un domaine réservé aux spécialistes.
Si la notion de « cyberscore » des fournisseurs de services de communication devrait voir le jour en 2022 pour informer le citoyen sur le niveau de sécurisation des données, le même concept pour les objets connectés, permettant une lecture claire et lisible par l’utilisateur, n’est toujours pas d’actualité.
De même, on sait que les objets connectés sont de plus en plus la cible des cyber-attaquants. Une augmentation de 30 % du nombre d’attaques par malware visant l’IoT a été constatée par SonicWall en 2020 pendant la crise du COVID-19. En outre, une étude de l’Université Northeastern de Boston et de l’Imperial College London a également révélé que 88 % des appareils connectés grand public envoyaient des données à des tiers (autres que leur fabricant).
Alors comment passer un Noël connecté en (meilleure) sécurité ? :
Si la question de la sécurité des objets connectés semble fondamentale, la réalité est tout autre. Une étude de Palo Alto Networks en 2020 dévoilait que 98 % des flux de données transitant par les objets connectés n’étaient pas sécurisés. Alors même que les objets connectés se comptent en milliards, les utilisateurs commencent à peine à prendre conscience des risques liés à l’exposition de leurs données personnelles (grâce notamment aux exigences du règlement européen sur la protection des données personnelles - RGPD).
Face à un tel constat, une chose est certaine : un éditeur qui aura investi dans la sécurité du dispositif connecté qu’il vend, en fera obligatoirement la mention. Sans doute pas comme la fonctionnalité n°1, mais au moins dans le descriptif technique. À l’inverse, lorsqu’aucune mention ne fait état d’un système de sécurité, c’est clairement qu’aucun effort particulier n’aura été entrepris, aux risques et périls des utilisateurs… À bien vérifier donc.
Internet est une source précieuse d’informations, des plus farfelues, mais aussi des plus pertinentes. Parmi ces dernières, les tests et autres comparatifs de produits, systèmes et appareils divers et variés se trouvent facilement. Réalisés par des magazines ou associations de professionnels, par des blogueurs ou autres youtubeurs, ils permettent de recueillir un certain nombre de renseignements avant de faire son choix.
Si les fonctionnalités ou encore l’ergonomie sont généralement au cœur des débats, les questions de sécurité s’invitent de plus en plus dans les tests liés aux objets connectés. Et si ce n’était pas le cas, il est toujours possible de demander l’avis de la communauté des utilisateurs.
Comme de nombreux produits issus de l’industrie, les objets connectés ne sont jamais produits à 100 % par un seul et même fabricant. Ce dernier joue souvent le rôle d’assembleur final d’éléments provenant d’un certain nombre de sous-traitants de rang 1 ou plus, éparpillés à travers le monde. Si bien qu’il n’est pas évident, y compris pour le fabricant lui-même, de connaître précisément la teneur exacte du produit qu’il commercialise.
Un objet connecté avec peu de traçabilité est donc un objet potentiellement dangereux. Il peut embarquer dans une puce électronique, à l’insu même du fabricant, un code malveillant ou un circuit malicieux qui potentiellement laissera fuiter des informations ou permettra de prendre le contrôle sur l’objet.
L’idéal est donc de pouvoir faire confiance à l’ensemble de la chaîne d’approvisionnement de l’objet convoité. Dans ce contexte également, il est souvent possible de compter sur la communauté et certains de ses membres toujours prompts à enquêter sur les provenances exactes des différents composants d’un produit.
Pour tout ordinateur, tablette ou smartphone, quel que soit le système d’exploitation, des mises à jour sont régulièrement disponibles. Le système lui-même ou les applications installées réalisent des montées de version ; corrections de bugs, mais aussi et surtout correctifs de sécurité, suite à la découverte de vulnérabilités.
Toutefois, tout objet connecté, du moindre capteur à l’enceinte, en passant par le véhicule, n’a pas forcément cette même capacité embarquée de mettre à jour le logiciel et le matériel. Il convient ainsi au moment de la sélection de vérifier si des mises à jour sont envisagées et donc prévues par le fabricant. De plus un élément clé est d’en connaître la fréquence et surtout l’engagement des mises à jour de sécurité sur la durée. Car un objet connecté qui ne bénéficie plus de mises à jour est un objet, par définition, voué à une obsolescence très rapide et aux vulnérabilités associées.
Sans être un as de l’informatique, il est toujours rassurant de pouvoir changer (au moins) les paramètres de sécurité (comme les droits d’accès, le nom d’utilisateur et le mot de passe, etc.) d’un objet connecté, quel qu’il soit. Et c’est encore mieux lorsque l’authentification est à double facteur. Avec un objectif prioritaire : limiter le risque de prise de contrôle de l’objet.
De façon plus globale, une interface de gestion permettant de paramétrer le mode de fonctionnement et le niveau de sécurité de l’objet est toujours un gage de confiance.
L’utilisateur, ne l’oublions pas, fait partie intégrante de la cybersécurité : c’est en effet en grande partie son comportement avec les objets qu’il utilise qui va influencer le niveau de risques auquel il sera soumis. Il faut donc bien utiliser les moyens de sécurité (même minimalistes) mis à sa disposition (authentification, mots de passe, penser à bien installer les mises à jour, etc.).
Au-delà les recommandations simples énoncées ci-dessus, il est impératif qu’à l’avenir des règles et recommandations claires (à la manière d’un cyberscore) soient mises à disposition du grand public, comme préconisé dans le projet de règlementation européenne (à partir de la norme EN 303 645) qui devrait être visible d’ici à deux ou trois ans sous la forme d’un label.
