Haro sur la sécurité de l’Internet des objets

Analyste et chercheurs s’entendent pour tirer la sonnette d’alarme sur la sécurité de l’Internet des objets. La course à la croissance ne fait qu’amplifier le phénomène.

Tour à tour, Forrester et une équipe de chercheurs de Princeton pointent du doigt la non-prise en compte des questions de sécurité dans le monde des objets connectés. Commençons par le cabinet d’analystes qui porte un regard critique sur le développement de l’Internet des objets. Dans un rapport sur les tendances de l’IoT en 2016, Forrester constate que les inquiétudes des dirigeants se focalisent sur la sécurité (34%), suivis des problématiques des coûts de déploiement (30%) et d’intégration (28%). La raison de ces interrogations s’explique, selon le cabinet d’études, par une quasi-absence de standardisation sur les objets connectés.

Dans un graphique issu du rapport, Forrester établit plusieurs vagues dans l’IoT avec des critères de maturité (création, existence, croissance, équilibre et déclin). Ainsi, le hardware et les technologies réseaux sont en haut de la vague en ayant le statut de croissance ou d’équilibre. L’aspect logiciel, intégrant les API, la gestion des applications et l’analytique, est encore en phase de développement. La standardisation est encore naissante, car elle repose sur des sociétés qui sont récentes et n’ont pas encore travaillé sur les questions d’interopérabilité.

forrester-iot-tech-radar
Enfin la sécurité de l’IoT est en phase de création selon Forrester, en estimant néanmoins que ce thème devrait atteindre la phase de développement dans les deux ou trois prochaines années. Le rapport s’inquiète surtout du manque du management des objets connectés qui augmente la surface des menaces et sur le déploiement de ces objets au sein d’infrastructures critiques.

Des trous de partout

Il reste que cette absence de sécurité de l’IoT est également constatée par des chercheurs de l’Université de Princeton. Lors d’une présentation à la PrivacyCon, ils ont mis en lumière les faiblesses de plusieurs objets connectés grand public. Parmi ceux-ci, on retrouve le switc WeMo de Belkin WeMo, le thermostat Nest, une enceinte Ubi Smart, une caméra de surveillance Sharx, un cadre photo PixStar et un hub SmartThings de Samsung (pour gérer la domotique).

Dans leur démonstration, les deux universitaires ont trouvé que la plupart de ces objets ne chiffraient pas leurs communications. Ainsi, la vidéo de surveillance transmet les vidéos enregistrées à un serveur en mode FTP mais pas sFTP. De même, le transfert des images sur le cadre photo est en clair autorisant une personne à sniffer le contenu. Pour le thermostat de Google, les chercheurs ont eu accès au code postal (donc la localisation de l’équipement) durant l’installation.

Mais pour les doctorants, le pire de tous est l’enceinte Ubi qui permet de contrôler d’autres objets à travers la voix. La liaison en http ouvre la porte à une attaque de type Homme du Milieu (MITM) et un pirate peut ainsi connaître les interactions avec les équipements, savoir dans quelle pièce est l’utilisateur et les activités autour de son domicile.

A lire aussi :

Dossier : 5 scénarios pour l’Internet des objets en entreprise

L’industrie pionnière de l’Internet des objets en France