Montre connectée pouvant être piratée

Objets connectés : les conditions de la confiance

Dossier : L'internet des objetsMagazine N°723 Mars 2017
Par Fabrice MATTATIA (90)

Pressés par le temps, les con­cep­teurs d’ob­jets con­nec­tés nég­li­gent sou­vent les aspects indis­pens­ables à l’in­stau­ra­tion de la con­fi­ance : la sécu­rité tech­nique (piratage) et la con­for­mité juridique (pro­tec­tion des don­nées per­son­nelles). On doit donc inté­gr­er ces risques dès la phase de con­cep­tion et pen­dant toute la vie du produit. 

Le pre­mier des risques est celui de la sécu­rité. Un inven­taire à la Prévert con­stitue peut-être le meilleur moyen de don­ner un aperçu des failles de sécu­rité que recè­lent bon nom­bre d’objets con­nec­tés mal conçus, et le résul­tat n’est pas rassurant. 

« Des microphones destinés à la commande vocale des téléviseurs connectés peuvent être détournés pour espionner les conversations »

En octo­bre 2015, lors d’une con­férence de presse du Pre­mier min­istre con­sacrée à la cyber­sécu­rité, les experts de l’Agence nationale de la sécu­rité des sys­tèmes de l’information (ANSSI) ont mon­tré com­ment ils pou­vaient facile­ment pirater une mon­tre connectée. 

Ils ont ain­si pu pren­dre le con­trôle de l’objet, accéder aux SMS de son pro­prié­taire, déclencher à son insu le micro­phone ou l’appareil pho­to inté­gré, con­naître sa localisation… 

La mon­tre con­nec­tée étant dev­enue un out­il poten­tiel d’espionnage, son port est désor­mais inter­dit dans le gou­verne­ment bri­tan­nique lors des réu­nions du Con­seil des min­istres – les télé­phones mobiles en étaient d’ailleurs déjà ban­nis, pour les mêmes raisons. 

De même, les micro­phones des­tinés à la com­mande vocale, par exem­ple sur un téléviseur con­nec­té, peu­vent être détournés pour espi­onner les conversations. 

REPÈRES

Depuis plusieurs années, on annonce l’arrivée imminente de « l’Internet des objets » (IoT, Internet of things), également désigné sous l’appellation « objets connectés ».
Le développement des applications sur smartphone ou sur bracelet destinées à nous ausculter en permanence pour garantir notre santé, le succès relatif des objets à la mode comme les montres connectées ou les lunettes-caméras, et la connexion au réseau d’objets jusqu’ici traditionnels comme le compteur électrique ou la voiture, nous font entrer, lentement mais sûrement, dans ce nouvel univers. À terme plusieurs milliards d’objets seront potentiellement connectés.

DES VOITURES PIRATÉES

Con­cer­nant les voitures con­nec­tées, des chercheurs en sécu­rité ont réus­si ces derniers mois à pirater des mod­èles de mar­ques aus­si divers­es que Tes­la, Jeep ou Toy­ota, à en pren­dre le con­trôle à dis­tance, et à leur faire effectuer des manœu­vres divers­es (ouver­ture des portes, allumage des phares, déclenche­ment des freins ou de l’accélérateur…).

« Il arrive qu’un défaut de programmation empêche de changer un mot de passe »

Il n’est pas besoin d’insister sur les risques pour les occu­pants et pour leur envi­ron­nement, si ces attaques avaient été menées par des indi­vidus malveil­lants, et non par des chercheurs… Chrysler a ain­si été con­traint de rap­pel­er 1,4 mil­lion de véhicules afin de met­tre à jour la sécu­rité de leur sys­tème informatique. 

DES MENACES QUI S’ÉTENDENT DE PLUS EN PLUS

Les comp­teurs d’électricité dits « intel­li­gents » ne sont pas mieux lotis. Des failles de sécu­rité ont été décou­vertes sur ceux util­isés en Espagne, au Roy­aume-Uni ou en Alle­magne, per­me­t­tant de mod­i­fi­er leurs paramètres de fonc­tion­nement, voire de couper le courant à tout un pays. 


La prise de con­trôle à dis­tance d’une mon­tre con­nec­tée est possible.
© HURRICANEHANK / SHUTTERSTOCK, INC.

Des attaquants ont pu égale­ment pirater des objets de san­té, comme des pace­mak­ers ou des pom­pes à insu­line, menaçant la san­té des patients : c’est pour éviter des ten­ta­tives d’assassinat que le vice-prési­dent améri­cain Dick Cheney avait dés­ac­tivé la con­nex­ion de son pacemaker. 

Les failles de sécu­rité qui per­me­t­tent ces piratages sont de toutes sortes. Un défaut de chiffre­ment et de sig­na­ture des mis­es à jour, per­me­t­tant à l’attaquant de mod­i­fi­er la pro­gram­ma­tion de l’objet en se faisant pass­er pour le con­struc­teur, a ain­si été con­staté sur des ther­mostats de chaudière ou sur des télévi­sions con­nec­tées, per­me­t­tant poten­tielle­ment une prise de con­trôle hos­tile menant à un sab­o­tage ou à une demande de rançon. 

Quand l’accès à l’objet est pro­tégé par un mot de passe (par exem­ple sur une box Wi-Fi), il n’est pas rare que ce soit le mot de passe par défaut qui soit sys­té­ma­tique­ment util­isé, et il arrive même, comble de mau­vaise con­cep­tion, qu’un défaut de pro­gram­ma­tion empêche de chang­er led­it mot de passe ! 

Les don­nées col­lec­tées par l’objet (par exem­ple un cap­teur de pouls ou de pres­sion dans un bracelet) peu­vent être stock­ées et/ou trans­mis­es sans être chiffrées, devenant ain­si lis­i­bles par n’importe qui. 

Caméra de surveillance
La société OVH a été vic­time d’un piratage via des caméras de télésurveillance.
© ASCAIN64 / FOTOLIA.COM

DES CAMÉRAS INFECTÉES PAR UN VIRUS

En septembre 2016, l’hébergeur OVH a été la cible de la plus importante attaque en saturation (DDOS, distributed denial of service) jamais enregistrée, menée à partir… d’un réseau de 150 000 caméras de surveillance infectées et contrôlées à distance par un pirate informatique qui a utilisé un malware.

PEARL HARBOR NUMÉRIQUE

On con­state ain­si, mal­heureuse­ment, que la sécu­rité infor­ma­tique n’est pas assez prise en con­sid­éra­tion lors de la con­cep­tion des objets con­nec­tés qui envahissent notre quotidien. 

Dans ces con­di­tions, on peut crain­dre une attaque éta­tique ou ter­ror­iste visant à s’emparer d’un seul coup du con­trôle de toute une caté­gorie d’objets stratégiques au niveau nation­al, par exem­ple pour couper le courant défini­tive­ment dans tout un pays – ce qui con­stituerait un véri­ta­ble Pearl Har­bor numérique. 

DES RISQUES JURIDIQUES MAL CONNUS ET SOUS-ESTIMÉS

En com­para­i­son, les risques de non-con­for­mité juridique représen­tent des enjeux bien moins vitaux. Pour­tant, ils témoignent eux aus­si d’une nég­li­gence lors de la con­cep­tion des objets con­nec­tés et des ser­vices qu’ils ali­mentent, et sont donc un symp­tôme du manque de sérieux de l’entreprise – ou d’une dés­in­vol­ture envers les lois, ce qui n’est pas bon signe non plus. 

En manip­u­lant, en trans­met­tant et en stock­ant des don­nées rel­a­tives aux habi­tudes de leur pro­prié­taire, les objets con­nec­tés relèvent des lois sur la pro­tec­tion des don­nées per­son­nelles. Si les don­nées traitées sont con­sid­érées comme sen­si­bles (don­nées médi­cales notam­ment), la loi impose des pré­cau­tions supplémentaires. 

Et pour les don­nées de san­té elles-mêmes, le code de la san­té prévoit un régime par­ti­c­uli­er pour le stockage. 

MÉCONNAISSANCE DE LA LÉGISLATION

Or, les indus­triels qui dif­fusent les objets con­nec­tés ignorent le plus sou­vent leurs oblig­a­tions légales, surtout lorsqu’il s’agit de PME ou de start-up. EDF, en revanche, a pris soin de con­sul­ter la Com­mis­sion nationale de l’informatique et des lib­ertés (CNIL) au sujet de son comp­teur Linky. 

Oblig­a­tion d’information des clients, de sécuri­sa­tion des don­nées, lim­i­ta­tion de la durée de con­ser­va­tion, inter­dic­tion de stock­er les don­nées hors de l’Union européenne sauf dérogations… 

Le recours à un juriste est indis­pens­able pour s’y retrouver. 

Une Tesla, voiture pouvant être piratée à distance
Le risque du piratage à dis­tance d’une auto­mo­bile est avéré.
© PAVEL L PHOTO AND VIDEO / SHUTTERSTOCK, INC
.

L’IMAGE DE MARQUE EN PREMIÈRE LIGNE

Le risque pour l’entreprise en cas de non-con­for­mité réside d’abord dans l’atteinte à son image de mar­que, car les con­som­ma­teurs exi­gent désor­mais que leurs don­nées soient pro­tégées. Or l’image de mar­que représente un act­if considérable. 

Yahoo, qui vient de per­dre les don­nées de 500 mil­lions de clients, le paye immé­di­ate­ment en perte de valeur bour­sière (Ver­i­zon, qui était sur le point de racheter Yahoo, exige une rené­go­ci­a­tion à la baisse de la trans­ac­tion pour un mil­liard de dollars). 

Exis­tent égale­ment les sanc­tions pénales et admin­is­tra­tives : cinq ans de prison et 300 000 euros d’amende au pénal, et jusqu’à 3 mil­lions d’euros d’amende devant la CNIL (à par­tir de 2018, ce sera 20 mil­lions d’euros ou 4 % du chiffre d’affaires mon­di­al de l’entreprise).

Les con­som­ma­teurs sont de plus en plus sen­si­bles à la pro­tec­tion de leurs don­nées, et en con­séquence, les sanc­tions pronon­cées en cas de vio­la­tion des oblig­a­tions ont ten­dance à s’alourdir.

INTÉGRER LES RISQUES DÈS LA PHASE DE CONCEPTION…

« Consulter des spécialistes de la sécurité informatique et du droit pour valider les choix fonctionnels et les choix d’implémentation »

De manière générale, il est pri­mor­dial de ne plus nég­liger les risques de sécu­rité et les risques juridiques, et de les plac­er au con­traire au cen­tre de la démarche de con­cep­tion des ser­vices connectés. 

Ain­si, dès le début de la con­cep­tion, au niveau des spé­ci­fi­ca­tions, il con­vient de con­sul­ter des spé­cial­istes de la sécu­rité infor­ma­tique et du droit, pour valid­er les choix fonc­tion­nels et les choix d’implémentation.

… ET PENDANT TOUTE LA VIE DU PRODUIT OU SERVICE

Une analyse de risques devra être sys­té­ma­tique­ment menée : sachant qu’aucune pro­tec­tion n’est invi­o­lable (même la NSA s’est fait pirater ses don­nées con­fi­den­tielles…), que risque le client le jour où un attaquant réus­sira à accéder au système ? 

Antenne de réception NSA
Même la NSA s’est fait pirater des don­nées con­fi­den­tielles. © TRIFF / SHUTTERSTOCK, INC.

S’il y a risque d’atteinte grave à la sécu­rité des per­son­nes, c’est toute la per­ti­nence de la démarche qui doit être remise en ques­tion. Des assur­ances peu­vent égale­ment être utiles. Des mécan­ismes spé­ci­fiques d’atténuation du risque et de pro­tec­tion des don­nées et des sys­tèmes se révè­lent indispensables. 

En out­re, il ne suf­fit pas d’installer ces pro­tec­tions lors de la vente du pro­duit : un suivi con­tinu est indis­pens­able, ain­si que des mis­es à jour par un canal sécurisé. 

DES MESURES À LA HAUTEUR DES ENJEUX

La con­for­mité juridique et la sécu­rité infor­ma­tique doivent ain­si représen­ter une préoc­cu­pa­tion con­stante des con­cep­teurs et des four­nisseurs de sys­tèmes connectés. 

Les mesures de pro­tec­tion doivent être à la mesure des risques : si on fait courir au pays un risque d’importance vitale (par exem­ple, la moin­dre pos­si­bil­ité d’une prise de con­trôle hos­tile de toute la dis­tri­b­u­tion d’électricité, ou de tous les véhicules, au niveau nation­al), les mesures de sécu­rité doivent être adaptées. 

Cela représente un sur­coût financier, qui dimin­uera certes l’attrait des objets con­nec­tés. Mais ce sur­coût est indis­pens­able à notre liber­té et à notre indépen­dance futures. 

BIBLIOGRAPHIE (SÉLECTION)

  • Le droit des don­nées per­son­nelles, 2e édi­tion, Eyrolles, 2016. 
  • Inter­net et les réseaux soci­aux : que dit la loi ? 2e édi­tion, Eyrolles, 2015. 
  • Le droit des don­nées per­son­nelles : n’attendez pas que la CNIL ou les pirates vous tombent dessus, Eyrolles, 2016. 
  • Être pro­prié­taire de ses don­nées per­son­nelles ? avec Mor­gane Yaïche, revue Lamy Droit de l’immatériel, avril et juin 2015. 
  • « De l’utilité d’une carte d’identité élec­tron­ique pour sécuris­er le monde numérique », Annales des Télé­com­mu­ni­ca­tions, 62, n° 11–12, 2007. 
  • « Panora­ma de l’informatisation du secteur de la san­té », La Jaune et la Rouge, févri­er 2003.
  • « La sécuri­sa­tion des échanges élec­tron­iques », La Jaune et la Rouge, décem­bre 1999.

2 Commentaires

Ajouter un commentaire

muriellerépondre
11 juillet 2017 à 6 h 57 min

Bon­jour

Bon­jour Je suis chauf­feur privé à Nice et je tra­vaille donc avec beau­coup d’ob­jets con­nec­tés mais seule­ment dans le cadre de mon tra­vail car ce que vous dites sur la con­fi­ance c’est exacte­ment ça, quand je vois que pour télécharg­er une petite appli­ca­tion sur mon télé­phone portable on me demande d’avoir accès à : ma caméra, mon réper­toire, mon dic­ta­phone, mes vidéos, mes pho­tos, ma local­i­sa­tion.… juste pour télécharg­er un petit jeu de carte ? à quoi ça sert de con­naître ma local­i­sa­tion, ma cam­era et mon dic­ta­phone ? c’est pour récupér­er des don­nées et les vendre

Lionelrépondre
19 juillet 2017 à 5 h 49 min

Bon­jour
Bon­jour
Tout peut être détourné et recueil­lis, le prob­lème c’est qu’on nous amène petit à petit à ne pass­er que par la tech­nolo­gie : compte ban­caire, paiement fac­ture, mail, compte en ligne ADELI, on est con­nec­té et on nous pro­pose que du connecté.

Lionel de
http://www.univers-pump.fr

Répondre