Quelques démonstrations effectuées durant un événementiel dédié aux nouvelles technologies à Las Vegas, aux Etats-Unis, en juillet dernier, la preuve est vite faite de la vulnérabilité des objets connectés. Sachant le potentiel de développement de l’IoT, l’internet des objets, les experts ont toutes les raisons de redouter les questions de sécurité des objets connectés.
Le marché des objets connectés est présenté comme le futur de l’internet et du web. Certains évoquent déjà le passage du web 2.O, le web collaboratif qui a vu la prédominance des réseaux sociaux à un web 3.0 qui sera celui de l’objet connecté par excellence.
Les indications sur l’évolution du marché des objets connectés sont en tout cas probantes. « En 2016, 6,4 milliards d’objets connectés devraient être utilisés dans le monde, en progression de 30% par rapport à 2015 », selon les estimations de Gartner, rapporte le site www.journalauto.com qui explique que c’est « une récente étude de Gartner », qui nous apprend que « l’utilisation des objets connectés devant être multipliée par trois dans le monde entre 2016 et 2020. » Les chiffres avancés par cette étude font état de quelque « 20,8 milliards d’unités » qui seront produites, en forte progression entre 2016 et 2020.
Ce site ajoute que d’ici l’année prochaine, « les objets connectés à destination des consommateurs représenteront 62% du marché (4 milliards d’unités), contre 38% pour ceux à destination des entreprises. » En termes d’investissements financiers dans ce secteur, le cabinet Gartner estime qu’ils « devraient progresser de 19,5% en 2016 (1.414 milliards d’euros) et de 113% entre 2016 et 2020 (3.010 milliards d’euros). »
Une autre étude de l’Idate, un think tank spécialisé dans l’économie numérique, les médias, l’internet et les télécommunications, selon Wikipédia, « compte 42 milliards d’objets connectés installés en 2015 », lit-on sur le site www.aruco.com qui parle de « base d’objets connectés « , ajoutant que, considérant « un taux de croissance annuel moyen de 14%, l’Idate prévoit que le marché mondial des objets connectés devrait progresser à ce rythme pour les 10 prochaines années au moins. »
Les projections de cette étude donnent « jusqu’à 155 milliards en 2025, avec l’avènement des solutions de télémesure à distance et la démocratisation des capteurs dans de nombreux secteurs industriels. » Ces perspectives offrent des marges d’investissement intéressantes pour les opérateurs économiques et industriels qui sont nombreux dans les starting block de ce marché juteux. Mais selon de récentes indications, le marché ne comporte pas que des opportunités. Des menaces pointent à l’horizon, notamment au niveau de la sécurité de transmission des données. C’est ce qu’ont tenté de démontrer certains spécialistes de la sécurité informatique qui ont mis en exergue quelques expériences de hackers ayant pu prendre le contrôle à distance d’objets connectés et les détourner de leur fonctionnement initial.
Lors des conférences Black Hat et Defcon, tenues en juillet dernier à Las Vegas, cet événement mondial de la sécurité informatique a été l’occasion pour la communauté des hackers de montrer ses compétences en la matière. « Lors de ces démonstrations de hacking dont le thème principal était pour cette année : les objets connectés, les pirates prennent le contrôle de ces mini-ordinateurs pour en montrer les dangers », écrit de son côté le site //iconsultants.fr qui note que parmi les expérimentations présentées, trois « ont notamment retenu l’attention : la prise de contrôle à distance d’une voiture, le détournement d’un fusil intelligent et le piratage d’un lecteur de cartes bancaires. »
Le site relate ensuite dans le détail l’exploit de Charlie Miller et Chris Valasek, deux chercheurs, qui ont réussi à prendre le contrôle d’un véhicule connecté, conduit par un journaliste du site dédié aux nouvelles technologies Wired, auquel ils ont fait subir un tas de misères avant de l’envoyer dans le fossé. « Ils se sont amusés à manipuler la ventilation et la radio, mais beaucoup plus grave, ils sont parvenus à couper le moteur de la voiture alors qu’elle était sur l’autoroute, à rendre les freins inactifs et à prendre le contrôle du volant », raconte le journaliste de ce site. Ces actions à distance sur un système de connexion d’objets a été rendue possible par le fait, explique ce site, que la majorité « des nouvelles options des voitures connectées ne dépendent effectivement pas d’un logiciel installé à l’intérieur de la voiture mais d’internet, ce qui les rend plus vulnérables aux attaques. »
Pour le site qui annonce « que 100% des voitures seront connectée d’ici 2025, ces récentes démonstrations ont de quoi faire peur. » Mais il faut voir les choses avec retenue car, ajoute le journaliste du site, « ces risques ne concernent pas tous les objets connectés et tous les habitants ne sont pas menacés. De plus, ce type d’évènements a un rôle nécessaire à la détection de failles, pour ensuite pouvoir les corriger ».
Lors de la conférence, une autre expérience a été présentée par un couple de hackers qui a prouvé la possibilité de s’immiscer dans le système informatique d’un fusil connecté et de lui faire le contraire de ce pourquoi il a été programmé. Le site relate l’histoire d’un couple de pirates qui a réussi, note-t-il, « à prendre le contrôle d’un fusil intelligent et peut désormais lui faire rater sa cible ».
Doté d’un programme informatique conçu « pour ne jamais se tromper », les hackers ont découvert les failles du fusil en le démontant, ajoute le site qui rapporte que le coup a été finalement capable « de modifier les paramètres balistiques du fusil à distance via le Wifi. » Hormis cela, « il n’est heureusement pas possible de tirer à distante » souligne //iconsultants.fr, en dépit du fait qu’il « est possible de modifier de façon permanente la visée de l’appareil et de faire en sorte que le tireur n’atteigne jamais sa cible », ajoute-t-il.
La troisième démonstration a porté sur l’interception de données d’une carte bancaire. « Des spécialistes en sécurité informatique ont fait une démonstration de la facilité avec laquelle le lecteur de cartes bancaires de la société de paiement par smartphone Square, très populaire aux Etats-Unis, pouvait servir à des cyber-criminels », rapporte le site www.01net.com, en référence aux expérimentations présentées durant la conférence Black Hat de juillet dernier.
L’exploit est l’œuvre d’une chercheuses indépendante, présentée comme hacker, qui a affirmé avoir « converti un lecteur Square en récupérateur (de données) de cartes bancaires en moins de 10 minutes », selon 01net.com qui explique que d’après la chercheuse, « l’opération nécessite des outils simples comme un tournevis, du câble et un fer à souder, et la tâche la plus longue consiste à ouvrir avec précaution le lecteur que Square fournit gratuitement aux commerçants souhaitant utiliser son application de paiements. » Elle détaille ce processus de hacking d’une simplicité déconcertante, puisque, après cela, dit-elle, il suffit « de souder le câble entre deux points à l’intérieur du lecteur pour contourner une puce de cryptage. Après cela, les informations des cartes passées dans le lecteur peuvent être récupérées, pour être utilisées frauduleusement ou vendues au marché noir. »
Le site 01net.com relate à l’occasion un autre exploit réussi par John Moore, récemment diplômé de l’université et qui s’apprête à débuter chez Google, et qui a pu mettre en place une application capable d’effectuer une « attaque par playback »’, c’est-à-dire, explique le site, que « les commerçants peuvent facturer de faux achats dans les semaines ou les mois suivant une transaction légitime. D’après ce jeune chercheur, il y a de fortes chances « que les vulnérabilités que nous avons trouvées chez Square puissent facilement s’appliquer à d’autres fournisseurs de services mobiles pour les commerçants. »
Les responsables de Square ont indiqué à l’AFP que le problème est lié aux « cartes de crédit en circulation aux Etats-Unis, qui continuent de stocker les données sur leurs bandes magnétiques contrairement à la plupart des pays européens qui ont adopté la carte à puce », d’après le site 01net.com.
Pour le quotidien économique français lesechos.fr qui a suivi ces expériences, « les démonstrations de hacking d’objets connectés se multiplient. La sécurité est déjà un enjeu pour toute l’industrie ». Son reporter fait un tour de certains experts en la matière pour jauger du degré d’importance de la menace des failles de sécurité dans les systèmes de transmission et de stockages des données pour les objets connectés. « Quand on parle d’internet des objets, on parle évidemment d’informatique et de réseaux. Un objet connecté est un mini-ordinateur. Donc par définition, les menaces de piratage existent », fait savoir Emmanuel Amiot, associé Communication et Media chez Oliver Wyman.
Il est également allé voir du côté des fabricants d’objets connectés, pour revenir avec ce sentiment d’agacement que lui a confié l’un d’eux : « Ils ne vous montrent pas ce qu’ils n’arrivent pas à pirater, s’énerve l’un d’entre eux. Le sujet de la sécurité est évidemment pris très au sérieux. Il y a des systèmes de cryptage. On évalue tout ce qu’on fait, et on fait aussi évaluer par des sociétés spécialisées, pour identifier les éventuelles vulnérabilités ». Il est vrai que tant que l’on ne parle que d’objets à usage personnel ou domestique, l’impact de telles failles de sécurité peut être largement relativisé.
« En revanche, le sujet peut devenir plus critique si des hackers réussissent à prendre le contrôle des réseaux d’électricité ou de gaz dans un quartier », alerte le site lesechos.fr qui estime « par exemple possible de plonger toute une zone dans le noir ou, en fonction des données récoltées sur la consommation, de savoir quelles habitations sont occupées ou pas, en vue d’éventuels cambriolages. » Il faut en plus tenir compte du fait que la sécurisation des objets connectés nécessite une intervention à différents niveaux, comme l’explique à ce site Emmanuel Amiot associé Communication et Media chez Oliver Wyman.
Après un tour d’horizon avec différents experts et spécialistes, le journaliste du site lesechos.fr en arrive à la conclusion que ce « danger du piratage informatique est à relativiser en fonction des applications concernées.
L’univers des objets connectés est vaste ». Un avis partagé par Pierre Polette, patron du cabinet spécialisé Lexsi qui souligne de son côté : « Il ne faut pas oublier que les cybercriminels sont avant tout motivés par l’argent. Leur but, c’est de maximiser les gains tout en minimisant les risques. Un frigo connecté, ça ne présente pas beaucoup d’intérêt ».
