Les objets connectés, un nouveau secteur sous haute menace
Avec plus de 20 milliards d’objets connectés attendus d’ici 2020 dans le monde, nous entrons progressivement dans l’ère du WEB 3.0, celui de l’Internet des Objets.
Un article de Romain Goulet, Guillaume Back, Oriane Mouttapa et Julie Parvillier.
L’Internet des Objets est destiné à faire communiquer entre eux tous les équipements conçus jusqu’alors pour leur simple fonction première. A l’aube du tout connecté, il convient de faire le point sur les risques potentiels liés à l’utilisation de ces objets. S’ils paraissent prometteurs de prime abord, ils révèlent cependant de réels dangers bien dissimulés derrière une communication efficace et des interfaces fluides et épurées.
Les équipements connectés communiquent avec une antenne relai par le biais d’un protocole qui leur est propre. Il transmet ensuite leurs données à un serveur permettant de stocker et de donner l’accès aux informations à des applications externes.
La représentation d’un réseau de l’Internet des Objets
Les risques informatiques classés en 4 piliers principaux
L’authentification, qui doit assurer l’identité de l’utilisateur.
La confidentialité, qui doit assurer l’accès aux ressources aux seules personnes autorisées.
L’intégrité, qui doit assurer la véracité des données.
La disponibilité, qui doit assurer un accès aux ressources à tout moment.
Les dangers principaux se trouvent donc dans l’accès non autorisé au serveur et aux données qu’il contient, dans l’écoute clandestine des communications entre les objets et l’antenne relai, dans la falsification ou la modification des données issus des capteurs. Mais aussi dans l’attaque par dénis de service (DDos) sur l’antenne ou les serveurs.
Souvent produits en masse dans le but de conquérir un marché en pleine expansion, les technologies utilisées pour faire communiquer les objets connectés sont presque aussi nombreuses que les revendeurs. Sigfox, LoRa, NB-IoT sont les protocoles les plus connus. Ils disposent chacun de leur propre sécurité en termes de cryptage et d’accès aux données qui est sans cesse améliorée et complexifiée.
Le virus mirai
Malheureusement ces précautions ne sont parfois pas suffisantes. Certains pirates ont par le passé pu dévoiler un aperçu des répercussions potentielles d’une simple attaque sur tout l’Internet mondial. La plus importante réalisée jusqu’alors a eu lieu le vendredi 21 octobre 2016.
Il s’agit d’une attaque par déni de service qui a consisté à saturer le fournisseur de DNS Dyn. Pour rappel, un fournisseur d’accès DNS permet l’aiguillage entre un nom de domaine et une adresse IP. Si l’aiguillage ne se fait pas, la page recherchée est inaccessible.
Une attaque par déni de service est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser.
Autorisant un débit de 1To/s, l’infrastructure de Dyn n’a pas résisté à cette attaque orchestrée par des centaines de milliers d’objets connectés piratés. L’origine du piratage provient simplement de l’utilisation par des hackers des identifiants et des mots de passe par défaut configurés sur des caméras, frigo ou chaudières connectés.
Ils ont ensuite introduit un virus nommé Mirai. Ce virus dirigeait le trafic par le biais de requêtes sur un point clé de nombreux sites Internet, le serveur centralisé de DNS. Cela a donc eu pour effet d’empêcher l’accès à différents grands sites Internet tels que Twitter, Spotify et Paypal. L’attaque fut facilitée puisque centralisée et non pas dirigée sur de multiples cibles.
Quel avenir pour l’Internet des Objets ?
Avec le nombre croissant d’objets connectés, nous pouvons craindre la multiplication de ce genre d’attaque. Les entreprises investissent massivement dans l’expansion de leur propre couverture au détriment de la sécurité. Chacune d’entre elles souhaite en effet obtenir le monopole lorsque le réseau de l’Internet des objets sera bien implanté afin de pouvoir instaurer ses standards comme des normes universelles.
Seulement pour le moment la sécurité ne suit pas. Dans un futur où les objets connectés seront de plus en plus intrusifs dans notre vie privée et dans nos infrastructures, il deviendra primordial de faire passer ce secteur en plan prioritaire. Surtout en cas de risque humain, tel que dans les hôpitaux par exemple.
Cet article a été rédigé dans le cadre d’un atelier pédagogique d’écriture libre autour du digital, en première année du cursus en 5 ans de l’IIM, l’première année de Bachelor, par les étudiants de la promo 2022.
