Durant les derniers mois, ces inquiétudes à propos de l’Internet des objets se sont justifiées. On peut citer entre autres exemples le rappel des 1,4 million de Jeeps Fiat Chrysler après avoir constaté qu’un hack du système de divertissement donnait le contrôle de la voiture à une tierce personne, ou encore le cas du bracelet de suivi d’activité Fitbit, sur lequel un morceau de code peut être installé via bluetooth.

Certains secteurs industriels commencent à prendre la mesure de la situation. L’industrie automobile fait par exemple de plus en plus appel aux pentests (tests de pénétration) pour vérifier la résistance de leur technologie face au piratage. C’est un bon début, mais sans contrainte (ces tests sont à l’initiative des fabricants) l’action reste limitée.

Il est temps que des normes respectées par tous les fabricants de technologie intelligente soient élaborées. Un organisme indépendant, qui réalise des audits et peut interdire la vente de produits dangereux, semble indispensable.

L’Online Trust Alliance, une instance de coopération d’entreprises de sécurité informatique et technologique, travaille actuellement sur le projet « The Internet of Trust Framework » qui va dans ce sens. Ce cadre fournira des directives aux fabricants et aux développeurs afin de réduire l’ampleur des vecteurs d’attaques et le nombre de vulnérabilités. L’organisation promeut également la gestion responsable de la vie privée et des données et sensibilise les fabricants et les développeurs à la sécurité. « Privacy & Security by Design » (Confidentialité et sécurité dès la conception) : ainsi doit être le modèle qui mène à une déontologie contraignante.

Les applications liées aux objets connectés représentent un autre élément pour lequel la sécurité doit être prioritaire. Celles-ci permettent à l’utilisateur d’accéder facilement à ses données personnelles. Mais obtenir ces données est également facile pour les cybercriminels, car la sécurité de l’application est souvent délaissée. L’authentification n’est parfois nécessaire qu’une seule fois, si tant est qu’elle fonctionne avec un mot de passe. Et peu d’utilisateurs sont exigeants sur la qualité du mot de passe. Ces types d’applications, contenant beaucoup de données personnelles, doivent être développés de façon plus sûre. La découverte du cheval de Troie Vicepass prouve que ces informations sont intéressantes pour les cybercriminels : ce Trojan recherche tous les mots de passe des appareils connectés au sein d’un réseau.

D’une manière générale, les utilisateurs doivent être attentifs aux questions de sécurité autour de l’IoT. Ils doivent sécuriser leurs appareils intelligents avec des mots de passe forts et éteindre ces appareils autant que possible quand ils ne sont pas en cours d’utilisation. Il est également important que les utilisateurs n’acceptent pas aveuglément les conditions d’utilisation. Le passage sur le stockage et le traitement des données collectées doit être étudié minutieusement. Et puis, la question suivante : ces conditions sont-elles réellement acceptables ? 

Par Eddy Willems - Security Evangelist G DATA