Objets connectés : future cible des hackers, prochains enjeux de la DSI

L'informatique fait partie de ces secteurs dont le jargon est riche en néologismes et abréviations. Certains ont été intégrés dans le langage courant comme "peer-2-peer", "client-serveur", "virtualisation", et plus récemment "Cloud", d'autres sont en passe de l'être. Les termes "objets connectés" et "Internet des objets" ont ainsi fleuri à travers la toile depuis quelques mois.

Concrètement, ce marché recouvre les objets du quotidien qui embarquent la technologie capable de les rendre "intelligents". Appelés objets connectés ou cyber-objets, ils se déclinent sous diverses formes : appareils photos, téléviseurs, réfrigérateurs ou voitures mais nous trouvons également des objets insolites tels que les brosses à dents, les vêtements ou encore les lunettes.
Loin du cliché des films de science-fiction, les objets connectés sont parmi nous, comme en témoignent les salons et sujets dans la presse écrite ou télévisée. A l'instar des smartphones puis des tablettes, le besoin et l'envie des utilisateurs vont se développer avec la commercialisation de cyber-objets de plus en plus esthétiques et encensés par de grandes campagnes marketing et autres keynotes. La baisse des prix et le développement de la concurrence inciteront une plus large population à se laisser tenter et à acquérir le nouvel objet à la mode. Outre le cadre des consommateurs individuels, et à l’image des tablettes, il est probable que les cyber-objets finissent par s'inviter dans le monde professionnel : entreprises privées ou publiques, collectivités publiques, PME/PMI, grandes entreprises... Au-delà des prouesses techniques, les objets connectés répondent effectivement à des besoins concrets pour les entreprises : industrialisation des processus, rationalisation des dépenses, échanges facilités des informations, prise de décisions rapides en fonction de contraintes extérieures telles que les conditions météorologiques et environnementales.
Un chef d'entreprise pourrait ainsi être séduit par l'idée que ses locaux soient équipés de serrures "intelligentes », pouvant être actionnées depuis une application de smartphone et capables d'envoyer une alerte par SMS ou à la police en cas d'ouverture illégitime. On peut également imaginer une municipalité qui souhaiterait faire un geste pour l'environnement en adoptant la luminosité de l’éclairage public en fonction de la présence de piétons ou de voitures dans les rues. Enfin, comment ne pas parler des Google Glass lesquelles, après avoir conquis les plus geeks (et plus fortunés) d’entre nous, trouvent des applications dans le domaine médical pour transmettre les images d'une opération chirurgicale entre la France et le Japon à des fins d'enseignement.
Les possibilités sont donc nombreuses et les cyber-objets permettront de faciliter le travail des entreprises et de leurs collaborateurs. A priori, rien ne pourrait empêcher le monde professionnel de se tourner vers cette évolution technologique, mais comme ce fut le cas lors de l'introduction des tablettes et smartphones au sein des entreprises, leur utilisation devra relever quelques défis. Il ne faut pas oublier que les objets connectés sont également des ordinateurs miniaturisés, avec leurs qualités : puissance de calcul, communication avec Internet… mais aussi leurs défauts. Le frein majeur à l'adoption massive de ces merveilles de technologies dans le monde professionnel est la sécurité : la sécurité des données collectées, stockées et transmises vers Internet, mais aussi leur sécurité intrinsèque afin qu'ils ne soient pas détournés de leur fonctionnement initial à des fins malveillantes.
Une simple faille dans le mécanisme de communication des Google Glass pourrait conduire à l'altération des images transmises par les lunettes ou à l'interception des informations par un individu tiers.
Des pistes existent pour apporter un niveau de sécurité minimal. Ces idées sont en fait issues des bonnes pratiques mises en place au sein des systèmes d’information « classiques » : postes de travail, serveurs, applications métiers, Smartphones…
La première piste consiste à mettre à jour régulièrement et automatiquement les logiciels sous-jacents aux objets connectés pour corriger leurs failles de sécurité. Le mécanisme est connu par tout éditeur de logiciels : depuis les systèmes d'exploitation Windows, Mac OS, Unix, jusqu'aux logiciels de bureautique, en passant par les équipements réseau et les bases de données. Toutefois, ces considérations ne sont aujourd’hui pas prises en compte par les concepteurs d'objets connectés, ce qui peut s’expliquer par la recherche de la rentabilité maximale ou la méconnaissance des enjeux de la sécurité informatique. Quelques exemples récents témoignent malheureusement de ce constat : réfrigérateurs transformés en relais "zombie" afin d'envoyer en masse des e-mails de spams ou de phishing ou encore caméras de surveillance permettant la diffusion de leurs images en libre-service sur Internet, souvent à l'insu de leur propriétaire.
La seconde piste est de positionner des solutions dédiées à la sécurité des objets connectés et permettant de contrôler leurs accès vers le monde extérieur : Internet bien sûr, mais aussi smartphones, tablettes et autres ordinateurs personnels.
Dans les faits les deux pistes sont complémentaires. Aucune protection n'étant parfaite, il est nécessaire d'adresser la problématique des cyber-objets déjà corrompus. Pour réduire la probabilité qu'ils infectent d'autres équipements informatiques, collectent des informations personnelles ou soient utilisés comme point de rebond pour d'autres attaques informatiques d'envergure, des solutions de sécurité peuvent être mises en place. Des équipements tels que les firewalls, antivirus, proxy et IPS, qui se retrouvent au sein des systèmes d'information existants, auront ici aussi leur rôle à jouer. Les éditeurs de solutions de sécurité devront s'adapter à ce nouveau marché comme ils l'ont fait lors de l'introduction des smartphones et tablettes au sein des entreprises.
Au-delà de l’introduction en masse des objets connectés dans les entreprises, une réflexion sérieuse sur l'aspect sécurité sera nécessaire car les particuliers seront également la cible des "pirates" à l'affut de cyber-objets vulnérables à leurs attaques. Il faut avouer que leur intérêt est compréhensible : le marché de l'Internet des objets est promis à un bel avenir. En décembre dernier, le Gartner prévoyait que le nombre d'objets connectés dans le monde pourrait effleurer les 26 milliards d'unités vendues en 2020, alors que le nombre cumulé de smartphones, tablettes et ordinateurs personnels n'atteindrait "que" les 7,3 milliards d'unités pour la même année.

Arnold Tissier
Source