En juillet dernier, Cisco prévoyait que 50 milliards d’objets seraient connectés au Net d’ici 2020. Un chiffre vertigineux qui pose d’évidentes questions d’usage, d’infrastructures réseaux et de sécurité. Au point que certains experts annoncent que l’Internet des objets pourraient devenir « l’Internet des vulnérabilités ».
A l’occasion d’une table ronde, nous avons eu l’occasion d’entendre et d’interroger Siân John, directrice technique de Symantec pour le Royaume-Uni et l’Irlande.
La vie extrêmement privée
De son point de vue, la question de la sécurité est évidemment centrale. A cause du poids de ce nouveau secteur, tout d’abord. La deuxième génération d’objets connectés va croître en nombre et les premiers appareils wearables vont évoluer pour être omniprésents. Une toute récente étude IDC estime, de son côté, que le nombre de périphériques wearables atteindra les 112 millions en 2018 contre seulement 19 millions en 2014…
A cause aussi d’un effet collatéral de cette omniprésence. Les informations générées par « l’Internet des objets et le wearable seront de plus en plus personnelles ». Elles formeront ce que Siân John appelle une « piste de données », que les utilisateurs laissent derrière eux comme des Petits Poucets des temps modernes. De fait, la vie privée est et sera un des gros enjeux de l’Internet des objets.
Quelle motivation ?
Car vos données personnelles pourraient bien être la prochaine cible des attaquants. C’est la conclusion à laquelle on arrive en se posant la question du bénéfice qui est nodale en matière de sécurité informatique. Les pirates ne font jamais rien « gratuitement », expliquait la représentante de Symantec. En effet, si les malwares sur smartphones sont largement une évolution des logiciels malveillants qu’on connaît depuis longtemps sur PC, ceux qui s’en prendront à l’Internet des objets pourraient n’avoir qu’un objectif en tête : vous voler vos données.
D’une part parce que la puissance de calcul de certains de ces appareils ne sera pas suffisante pour être exploitable, même par le biais d’un botnet. D’autre part, parce que vos données hautement qualifiées vont prendre de la valeur.
Pour Siân John, plusieurs scénarios sont imaginables pour expliquer les motivations de ces hackers malintentionnés. Le premier pourrait être d’agir dans le quotidien. On hacke un réseau domestique pour savoir quand le propriétaire est absent et pour le cambrioler, par exemple, ce qui est déjà plus ou moins « possible avec la localisation des smartphones », précisait toutefois Siân John.
Une nouvelle économie
Un autre scénario envisageable est l’accumulation d’informations pour « qualifier » plus précisément le profil d’une personne et pouvoir le vendre à une société commerciale ou une agence publicitaire, expliquait l’ingénieur de Symantec. On peut d’ailleurs imaginer que cette récupération de données sera même une fonction officielle de ces produits. On pense notamment au rachat de Nest par Google et au modèle économique qui pourrait en ressortir.
C’est en tout cas la vision de Siân John. La directrice technique de Symantec pense en effet qu’un « business model va se développer pour les données personnelles ». Car « ces informations sont le bénéfice ». Pour autant, précisait-elle, le pirate informatique aurait meilleur compte d’attaquer une société qui analyse ces données. Sauf à ce que, et c’est totalement envisageable, « les cybercriminels deviennent des data miners ». La professionnalisation de la cybercriminalité peut laisser entrapercevoir des organisations complexes qui voleraient les données puis les traiteraient pour leur donner de la valeur. Elles ne vendraient plus les informations dérobées brutes, mais un portefeuille d’informations qualifiées, qui augmenterait la rentabilité de leur activité.
Dès lors, il paraît évident que ces personnages ne s’encombreront pas de charte éthique pour accéder à vos informations personnelles et les revendre. Il est donc primordial de faire en sorte que ce monde de l’Internet des objets soit sécurisé, d’emblée.
L’urgence de penser la sécurité
Le problème est que pour les objets connectés « immobiles » ou les appareils wearables, la sécurité n’a pas été prise en compte en amont. Il est encore temps de changer la donne mais il faut le faire avant qu’ils se répandent dans nos vies. Siân John rejoint en cela un de ces collègues qui postaient récemment sur le blog de Symantec que « l’ajustement a posteriori de la sécurité d’un système avec un million d’objets connectés ne sera pas une option dans les années à venir ». D’autant que ce nouveau secteur manque encore d’un standard, pour le wearable notamment. De même, les technologies utilisées ont besoin d’être plus sécurisées, c’est le cas du Bluetooth, reconnaissait l’experte de Symantec.
Par ailleurs, si on a beaucoup vendu l’arrivée de l’IPv6 en pointant du doigt l’Internet des objets, « l’IP n’est pas forcément la solution, expliquait Siân John. Pour les communications de machine à machine, il serait plus pertinent d’utiliser des réseaux maillés avec une seule passerelle vers le Net ». Ce qui équivaudrait, dans les grandes lignes, à une situation proche de ce qu’on connaît actuellement. « Le routeur est toujours le point d’entrée, celui qu’on néglige, celui qui est pourtant le plus exposé » car il est en position frontale. Il peut ensuite permettre de contaminer les appareils derrière lui.
Le paradoxe d’une sécurité renforcée
Pour Siân John, une sécurité correcte dans le contexte de l’Internet des objets ne nécessiterait pas forcément de réinventer la roue. Il suffirait d’appliquer les vieilles antiennes : « tenir à jour, utiliser intelligemment et être méfiant face aux promesses trop belles pour être vraies ». A quoi pourrait s’ajouter un renforcement du poids des certificats et des méthodes d’authentification, qui seront essentiels, et devront autant que possibles être transparents pour les utilisateurs.
Et cette utilisation clairvoyante des certificats, notamment via une génération de « signatures » plus légères et moins encombrantes, pourrait même inverser la tendance et accroître la sécurité là où l’Internet des objets est plutôt perçu comme un terrain miné. Siân John parle alors « d’authentification par le contexte ».
« Si j’ai mon téléphone portable, si j’ai mon Fitbit, si j’ai ma montre connectée, si j’ai mes Google Glass, alors peut-être que c’est bien moi… », expliquait-elle, amusée. La multiplication des données croisées permet de s’assurer au mieux de l’identité d’une personne et contrôle de manière plus sécurisée l’accès à un smartphone, par exemple. On peut alors imaginer un système hybride qui mêlerait authentification et géolocalisation, comme le proposait Google dans un brevet déposé en février 2012.
Alors, l’Internet des objets pourrait apporter la réponse à un mal ancien mais nécessaire : pour Siân John, il pourrait être un moyen de débarrasser du « mot de passe, qui est imparfait mais, qui n’a, pour l’instant, pas encore trouvé de remplaçant parfait »…
A lire aussi :
On a découvert un botnet d’objets connectés : mêmes les frigos sont piratés ! – 17/01/2014
L’internet des objets pèsera 1 900 milliards de dollars d’ici 2020 – 08/10/2013
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.