Montre connectée pouvant être piratée

Objets connectés : les conditions de la confiance

Dossier : L'internet des objetsMagazine N°723 Mars 2017
Par Fabrice MATTATIA (90)

Les pro­mo­teurs des objets connec­tés, sou­vent pres­sés par le temps, par leur busi­ness plan et par la hâte de conqué­rir le mar­ché avant les concur­rents, consacrent tous leurs efforts à déve­lop­per les fonc­tion­na­li­tés pra­tiques ain­si que le plan mar­ke­ting, et négligent sou­vent deux aspects indis­pen­sables à l’instauration d’une confiance de long terme : la sécu­ri­té tech­nique et la confor­mi­té juri­dique. Ils prennent ain­si des risques majeurs et s’exposent à de graves revers en cas de pro­blème, ce qui ne serait pas grave s’ils n’y expo­saient pas aus­si leurs clients.

Pres­sés par le temps, les concep­teurs d’ob­jets connec­tés négligent sou­vent les aspects indis­pen­sables à l’ins­tau­ra­tion de la confiance : la sécu­ri­té tech­nique (pira­tage) et la confor­mi­té juri­dique (pro­tec­tion des don­nées per­son­nelles). On doit donc inté­grer ces risques dès la phase de concep­tion et pen­dant toute la vie du produit.

Le pre­mier des risques est celui de la sécu­ri­té. Un inven­taire à la Pré­vert consti­tue peut-être le meilleur moyen de don­ner un aper­çu des failles de sécu­ri­té que recèlent bon nombre d’objets connec­tés mal conçus, et le résul­tat n’est pas rassurant.

« Des microphones destinés à la commande vocale des téléviseurs connectés peuvent être détournés pour espionner les conversations »

En octobre 2015, lors d’une confé­rence de presse du Pre­mier ministre consa­crée à la cyber­sé­cu­ri­té, les experts de l’Agence natio­nale de la sécu­ri­té des sys­tèmes de l’information (ANSSI) ont mon­tré com­ment ils pou­vaient faci­le­ment pira­ter une montre connectée.

Ils ont ain­si pu prendre le contrôle de l’objet, accé­der aux SMS de son pro­prié­taire, déclen­cher à son insu le micro­phone ou l’appareil pho­to inté­gré, connaître sa localisation…

La montre connec­tée étant deve­nue un outil poten­tiel d’espionnage, son port est désor­mais inter­dit dans le gou­ver­ne­ment bri­tan­nique lors des réunions du Conseil des ministres – les télé­phones mobiles en étaient d’ailleurs déjà ban­nis, pour les mêmes raisons.

De même, les micro­phones des­ti­nés à la com­mande vocale, par exemple sur un télé­vi­seur connec­té, peuvent être détour­nés pour espion­ner les conversations.

REPÈRES

Depuis plusieurs années, on annonce l’arrivée imminente de « l’Internet des objets » (IoT, Internet of things), également désigné sous l’appellation « objets connectés ».
Le développement des applications sur smartphone ou sur bracelet destinées à nous ausculter en permanence pour garantir notre santé, le succès relatif des objets à la mode comme les montres connectées ou les lunettes-caméras, et la connexion au réseau d’objets jusqu’ici traditionnels comme le compteur électrique ou la voiture, nous font entrer, lentement mais sûrement, dans ce nouvel univers. À terme plusieurs milliards d’objets seront potentiellement connectés.

DES VOITURES PIRATÉES

Concer­nant les voi­tures connec­tées, des cher­cheurs en sécu­ri­té ont réus­si ces der­niers mois à pira­ter des modèles de marques aus­si diverses que Tes­la, Jeep ou Toyo­ta, à en prendre le contrôle à dis­tance, et à leur faire effec­tuer des manœuvres diverses (ouver­ture des portes, allu­mage des phares, déclen­che­ment des freins ou de l’accélérateur…).

« Il arrive qu’un défaut de programmation empêche de changer un mot de passe »

Il n’est pas besoin d’insister sur les risques pour les occu­pants et pour leur envi­ron­ne­ment, si ces attaques avaient été menées par des indi­vi­dus mal­veillants, et non par des cher­cheurs… Chrys­ler a ain­si été contraint de rap­pe­ler 1,4 mil­lion de véhi­cules afin de mettre à jour la sécu­ri­té de leur sys­tème informatique.

DES MENACES QUI S’ÉTENDENT DE PLUS EN PLUS

Les comp­teurs d’électricité dits « intel­li­gents » ne sont pas mieux lotis. Des failles de sécu­ri­té ont été décou­vertes sur ceux uti­li­sés en Espagne, au Royaume-Uni ou en Alle­magne, per­met­tant de modi­fier leurs para­mètres de fonc­tion­ne­ment, voire de cou­per le cou­rant à tout un pays.

Des atta­quants ont pu éga­le­ment pira­ter des objets de san­té, comme des pace­ma­kers ou des pompes à insu­line, mena­çant la san­té des patients : c’est pour évi­ter des ten­ta­tives d’assassinat que le vice-pré­sident amé­ri­cain Dick Che­ney avait désac­ti­vé la connexion de son pacemaker.

Les failles de sécu­ri­té qui per­mettent ces pira­tages sont de toutes sortes. Un défaut de chif­fre­ment et de signa­ture des mises à jour, per­met­tant à l’attaquant de modi­fier la pro­gram­ma­tion de l’objet en se fai­sant pas­ser pour le construc­teur, a ain­si été consta­té sur des ther­mo­stats de chau­dière ou sur des télé­vi­sions connec­tées, per­met­tant poten­tiel­le­ment une prise de contrôle hos­tile menant à un sabo­tage ou à une demande de rançon.

Quand l’accès à l’objet est pro­té­gé par un mot de passe (par exemple sur une box Wi-Fi), il n’est pas rare que ce soit le mot de passe par défaut qui soit sys­té­ma­ti­que­ment uti­li­sé, et il arrive même, comble de mau­vaise concep­tion, qu’un défaut de pro­gram­ma­tion empêche de chan­ger ledit mot de passe !

Les don­nées col­lec­tées par l’objet (par exemple un cap­teur de pouls ou de pres­sion dans un bra­ce­let) peuvent être sto­ckées et/ou trans­mises sans être chif­frées, deve­nant ain­si lisibles par n’importe qui.

Caméra de surveillance
La socié­té OVH a été vic­time d’un pira­tage via des camé­ras de télésurveillance.
© ASCAIN64 / FOTOLIA.COM

DES CAMÉRAS INFECTÉES PAR UN VIRUS

En septembre 2016, l’hébergeur OVH a été la cible de la plus importante attaque en saturation (DDOS, distributed denial of service) jamais enregistrée, menée à partir… d’un réseau de 150 000 caméras de surveillance infectées et contrôlées à distance par un pirate informatique qui a utilisé un malware.

PEARL HARBOR NUMÉRIQUE

On constate ain­si, mal­heu­reu­se­ment, que la sécu­ri­té infor­ma­tique n’est pas assez prise en consi­dé­ra­tion lors de la concep­tion des objets connec­tés qui enva­hissent notre quotidien.

Dans ces condi­tions, on peut craindre une attaque éta­tique ou ter­ro­riste visant à s’emparer d’un seul coup du contrôle de toute une caté­go­rie d’objets stra­té­giques au niveau natio­nal, par exemple pour cou­per le cou­rant défi­ni­ti­ve­ment dans tout un pays – ce qui consti­tue­rait un véri­table Pearl Har­bor numérique.

DES RISQUES JURIDIQUES MAL CONNUS ET SOUS-ESTIMÉS

En com­pa­rai­son, les risques de non-confor­mi­té juri­dique repré­sentent des enjeux bien moins vitaux. Pour­tant, ils témoignent eux aus­si d’une négli­gence lors de la concep­tion des objets connec­tés et des ser­vices qu’ils ali­mentent, et sont donc un symp­tôme du manque de sérieux de l’entreprise – ou d’une désin­vol­ture envers les lois, ce qui n’est pas bon signe non plus.

En mani­pu­lant, en trans­met­tant et en sto­ckant des don­nées rela­tives aux habi­tudes de leur pro­prié­taire, les objets connec­tés relèvent des lois sur la pro­tec­tion des don­nées per­son­nelles. Si les don­nées trai­tées sont consi­dé­rées comme sen­sibles (don­nées médi­cales notam­ment), la loi impose des pré­cau­tions supplémentaires.

Et pour les don­nées de san­té elles-mêmes, le code de la san­té pré­voit un régime par­ti­cu­lier pour le stockage.

MÉCONNAISSANCE DE LA LÉGISLATION

Or, les indus­triels qui dif­fusent les objets connec­tés ignorent le plus sou­vent leurs obli­ga­tions légales, sur­tout lorsqu’il s’agit de PME ou de start-up. EDF, en revanche, a pris soin de consul­ter la Com­mis­sion natio­nale de l’informatique et des liber­tés (CNIL) au sujet de son comp­teur Linky.

Obli­ga­tion d’information des clients, de sécu­ri­sa­tion des don­nées, limi­ta­tion de la durée de conser­va­tion, inter­dic­tion de sto­cker les don­nées hors de l’Union euro­péenne sauf dérogations…

Le recours à un juriste est indis­pen­sable pour s’y retrouver.

Une Tesla, voiture pouvant être piratée à distance
Le risque du pira­tage à dis­tance d’une auto­mo­bile est avéré.
© PAVEL L PHOTO AND VIDEO / SHUTTERSTOCK, INC
.

L’IMAGE DE MARQUE EN PREMIÈRE LIGNE

Le risque pour l’entreprise en cas de non-confor­mi­té réside d’abord dans l’atteinte à son image de marque, car les consom­ma­teurs exigent désor­mais que leurs don­nées soient pro­té­gées. Or l’image de marque repré­sente un actif considérable.

Yahoo, qui vient de perdre les don­nées de 500 mil­lions de clients, le paye immé­dia­te­ment en perte de valeur bour­sière (Veri­zon, qui était sur le point de rache­ter Yahoo, exige une rené­go­cia­tion à la baisse de la tran­sac­tion pour un mil­liard de dollars).

Existent éga­le­ment les sanc­tions pénales et admi­nis­tra­tives : cinq ans de pri­son et 300 000 euros d’amende au pénal, et jusqu’à 3 mil­lions d’euros d’amende devant la CNIL (à par­tir de 2018, ce sera 20 mil­lions d’euros ou 4 % du chiffre d’affaires mon­dial de l’entreprise).

Les consom­ma­teurs sont de plus en plus sen­sibles à la pro­tec­tion de leurs don­nées, et en consé­quence, les sanc­tions pro­non­cées en cas de vio­la­tion des obli­ga­tions ont ten­dance à s’alourdir.

INTÉGRER LES RISQUES DÈS LA PHASE DE CONCEPTION…

« Consulter des spécialistes de la sécurité informatique et du droit pour valider les choix fonctionnels et les choix d’implémentation »

De manière géné­rale, il est pri­mor­dial de ne plus négli­ger les risques de sécu­ri­té et les risques juri­diques, et de les pla­cer au contraire au centre de la démarche de concep­tion des ser­vices connectés.

Ain­si, dès le début de la concep­tion, au niveau des spé­ci­fi­ca­tions, il convient de consul­ter des spé­cia­listes de la sécu­ri­té infor­ma­tique et du droit, pour vali­der les choix fonc­tion­nels et les choix d’implémentation.

… ET PENDANT TOUTE LA VIE DU PRODUIT OU SERVICE

Une ana­lyse de risques devra être sys­té­ma­ti­que­ment menée : sachant qu’aucune pro­tec­tion n’est invio­lable (même la NSA s’est fait pira­ter ses don­nées confi­den­tielles…), que risque le client le jour où un atta­quant réus­si­ra à accé­der au système ?

Antenne de réception NSA
Même la NSA s’est fait pira­ter des don­nées confi­den­tielles. © TRIFF / SHUTTERSTOCK, INC.

S’il y a risque d’atteinte grave à la sécu­ri­té des per­sonnes, c’est toute la per­ti­nence de la démarche qui doit être remise en ques­tion. Des assu­rances peuvent éga­le­ment être utiles. Des méca­nismes spé­ci­fiques d’atténuation du risque et de pro­tec­tion des don­nées et des sys­tèmes se révèlent indispensables.

En outre, il ne suf­fit pas d’installer ces pro­tec­tions lors de la vente du pro­duit : un sui­vi conti­nu est indis­pen­sable, ain­si que des mises à jour par un canal sécurisé.

DES MESURES À LA HAUTEUR DES ENJEUX

La confor­mi­té juri­dique et la sécu­ri­té infor­ma­tique doivent ain­si repré­sen­ter une pré­oc­cu­pa­tion constante des concep­teurs et des four­nis­seurs de sys­tèmes connectés.

Les mesures de pro­tec­tion doivent être à la mesure des risques : si on fait cou­rir au pays un risque d’importance vitale (par exemple, la moindre pos­si­bi­li­té d’une prise de contrôle hos­tile de toute la dis­tri­bu­tion d’électricité, ou de tous les véhi­cules, au niveau natio­nal), les mesures de sécu­ri­té doivent être adaptées.

Cela repré­sente un sur­coût finan­cier, qui dimi­nue­ra certes l’attrait des objets connec­tés. Mais ce sur­coût est indis­pen­sable à notre liber­té et à notre indé­pen­dance futures.

BIBLIOGRAPHIE (SÉLECTION)

  • Le droit des don­nées per­son­nelles, 2e édi­tion, Eyrolles, 2016.
  • Inter­net et les réseaux sociaux : que dit la loi ? 2e édi­tion, Eyrolles, 2015.
  • Le droit des don­nées per­son­nelles : n’attendez pas que la CNIL ou les pirates vous tombent des­sus, Eyrolles, 2016.
  • Être pro­prié­taire de ses don­nées per­son­nelles ? avec Mor­gane Yaïche, revue Lamy Droit de l’immatériel, avril et juin 2015.
  • « De l’utilité d’une carte d’identité élec­tro­nique pour sécu­ri­ser le monde numé­rique », Annales des Télé­com­mu­ni­ca­tions, 62, n° 11–12, 2007.
  • « Pano­ra­ma de l’informatisation du sec­teur de la san­té », La Jaune et la Rouge, février 2003.
  • « La sécu­ri­sa­tion des échanges élec­tro­niques », La Jaune et la Rouge, décembre 1999.

2 Commentaires

Ajouter un commentaire

muriellerépondre
11 juillet 2017 à 6 h 57 min

Bon­jour

Bon­jour Je suis chauf­feur pri­vé à Nice et je tra­vaille donc avec beau­coup d’ob­jets connec­tés mais seule­ment dans le cadre de mon tra­vail car ce que vous dites sur la confiance c’est exac­te­ment ça, quand je vois que pour télé­char­ger une petite appli­ca­tion sur mon télé­phone por­table on me demande d’a­voir accès à : ma camé­ra, mon réper­toire, mon dic­ta­phone, mes vidéos, mes pho­tos, ma loca­li­sa­tion.… juste pour télé­char­ger un petit jeu de carte ? à quoi ça sert de connaître ma loca­li­sa­tion, ma came­ra et mon dic­ta­phone ? c’est pour récu­pé­rer des don­nées et les vendre

Lio­nelrépondre
19 juillet 2017 à 5 h 49 min

Bon­jour
Bon­jour
Tout peut être détour­né et recueillis, le pro­blème c’est qu’on nous amène petit à petit à ne pas­ser que par la tech­no­lo­gie : compte ban­caire, paie­ment fac­ture, mail, compte en ligne ADELI, on est connec­té et on nous pro­pose que du connecté.

Lio­nel de
http://www.univers-pump.fr

Répondre