La sécurité des objets connectés : à ne pas prendre à la légère

Mon entourage peut en témoigner : je ne suis pas une enthousiaste des objets connectés. Les appareils que je possède qui sont connectés au Bluetooth se comptent sur – même pas — les doigts d’une main et passent la majeure partie de leur « vie » déconnectés. Les assistants personnels du type Alexa, Siri ou Google Home tendent à provoquer chez moi des rires nerveux, et j’ai le même malaise avec les ampoules qu’on contrôle avec un téléphone intelligent ou les bouteilles d’eau qui « traquent » l’hydratation de leur humain. Je suis consciente que ces réticences peuvent être liées à une certaine (dé)formation professionnelle. Je suis également consciente que ces objets-là s’avèrent souvent commodes et divertissants pour beaucoup de personnes.

Donc quand je parle de mes petites angoisses à des amis ou de la famille, une question revient presque toujours : à quel point faut-il se méfier des objets connectés? Ma réponse : ça sert rarement à grand-chose d’être paranoïaque, mais c’est probablement une bonne idée de se montrer un peu plus inquiets et critiques par rapport à la multiplication des buzzwords et aux promesses portées par un avenir connecté.

Voici pourquoi.

Plus qu’on le pense. Les histoires sur les impacts des failles de sécurité des objets connectés sont publiées sur une base régulière. Elles sont parfois un peu comiques, d’autres fois, littéralement creep, mais la plupart du temps, franchement inquiétantes. En guise d’exemple, un hacker connu sous le pseudonyme « LimitedResults » a démontré comment des ampoules connectées jetées pouvaient révéler à un attaquant — en moins d’une heure de travail — le nom du réseau local ainsi que le mot de passe y étant associé. Bref, à partir d’une simple ampoule intelligente discartée, il est possible d’avoir accès rapidement à des informations précieuses et de potentiellement prendre le contrôle d’un réseau wifi. Plus récemment, la compromission de mots de passe d’utilisateurs des caméras de surveillance Neston a permis à des malfaiteurs à prendre contrôle desdites caméras et de leur communiquer des messages alarmants. Plus proche de nous, on se rend compte que les objets intelligents sont mobilisés pour faire du harcèlement psychologique dans des contextes de violence conjugale.

À une échelle plus globale, les chercheurs en sécurité se rendent compte que des objets connectés mal sécurisés — par les utilisateurs ou les manufacturiers — sont de plus en plus fréquemment mobilisés dans des botnets (rappelons-nous de Mirai qui mobilisait des routeurs, caméras CCTV et autres appareils qui forment l’Internet des objets) menant des attaques par dénis de services. Ces attaques ont pour effet de bloquer ou de ralentir significativement plusieurs sites et services web. Autrement dit, si on pousse *à peine* cette logique, c’est dans le domaine de l’envisageable que des toasters et des frigidaires intelligents et mal sécurisés puissent être mobilisés dans le cadre d’une cyberguerre.

En 2016, Motherboard estimait à 6,8 milliards le nombre d’objets connectés à l’Internet. La supposition est que ce nombre passera à au-dessus de 20 milliards en 2020. Si vous ne vous sentez pas vulnérable, on peut tous minimalement s’entendre sur le fait qu’il y a un besoin de reprendre un contrôle, même partiel, de ces appareils.

Une partie du problème, c’est que les appareils connectés ne sont pas aussi sécuritaires qu’ils devraient l’être. Si nos ordinateurs et nos téléphones sont « sécuritaires » comme ils le sont, c’est parce qu’il y a des équipes qui testent leurs codes et travaillent à temps plein sur les patchs de sécurité avant de proposer des mises à jour de manière constante aux utilisateurs.

Comme le souligne Bruce Schneier, l’une des têtes d’affiche dans le milieu de la cybersécurité (oui, oui, on a nos stars, nous autres aussi), la réalité des objets connectés est toute autre. La majeure partie de ceux-ci sont construits par des tiers partis ou par des compagnies qui ne disposent pas des ressources suffisantes en termes d’expertise pour assurer une sécurité adéquate. La logique marchande est simple : pour vendre tout objet, il faut une marge de profit. Pour que des gadgets « intelligents » paressent financièrement compétitifs par rapport à leurs homologues non connectés (serais-tu game d’acheter une ampoule à 300 $?), la compagnie doit soit baser son modèle d’affaire sur la collecte de données personnelles (saluons Alexa, Google Home), soit couper certains coins ronds dans l’implantation de normes en sécurité ou dans l’entretien (mises à jour) qu’ils feront de leurs systèmes.

Couper les coins ronds peut avoir des incidences désastreuses. Dans son livre « Click here to kill everybody » (c’est un titre délibérément provocateur), Schneier argumente que, contrairement à l’internet « usuel » (lire ici, médias sociaux, courriels, navigation web), les impacts des vulnérabilités informatiques sur l’Internet des objets peut avoir des conséquences physiques dramatiques puisque ceux-ci interagissent directement avec le monde physique (par exemple, un toaster contrôlé par un malfaiteur pourrait causer un incendie). Son avertissement : la protection de la vie privée à travers la collecte de données personnelle est probablement le moindre de nos soucis.

Entre temps, faut-il fuir tous ces objets comme la peste? Pas forcément. Je pense cependant qu’il faille adopter une attitude responsable et sécuritaire lorsqu’on fait l’acquisition de ces objets. Si les fabricants doivent améliorer leurs pratiques, il faut aussi se sensibiliser en tant que consommateurs.

L’idée générale est d’acheter, de configurer et d’entretenir des objets intelligents de manière à garder la sécurité en tête. D’abord, au moment de l’achat, il est important de faire quelques recherches. Personnellement, j’aime bien recommander la grille d’évaluation créée par Fondation Mozilla. Elle permet d’identifier facilement les informations clés et propose un schème d’interprétation simple et efficace des informations que vous pourriez trouver sur le produit convoité.

Une fois le gadget rapatrié à la demeure, le temps est venu de se l’approprier, de lire le manuel, de configurer l’appareil et de modifier ses paramètres de base. La première chose à savoir avec les objets connectés, c’est que même s’ils ne sont pas toujours interopérables entre eux, ils coexistent sur un même réseau. Autrement dit, une vulnérabilité sur l’un de vos objets peut compromettre l’entièreté de votre réseau local (vous ne me croyez pas? le réseau internet d’un casino a déjà été hacké en exploitant une vulnérabilité d’un aquarium connecté). Donc, si vous voulez être vraiment solide, l’idéal est de rassembler tous les objets connectés sur leurs propres réseaux (qui sera différent de celui que vous utilisez pour naviguer avec vos ordinateurs et téléphones).

Sinon, le reste n’est pas sorcier, mais reste absolument crucial : il faut changer les mots de passe par défaut de votre nouvelle acquisition. Évidemment, choisissez un mot de passe robuste et utilisez différents mots de passe pour différents comptes et appareils. Assurez-vous de passer en revue tous les paramètres de confidentialité et restreignez les accès que vous ne jugez pas nécessaires (par exemple, il n’est pas tout à fait pertinent qu’une ampoule intelligente ait accès à votre localisation). Cette étape peut paraître banale, mais elle est le meilleur moyen de réellement comprendre (et donc, de réellement consentir) l’étendue des données qui sont récoltées sur vos activités. Finalement, le plus important est de s’assurer de faire les mises à jour de manière religieuse. Choisissez-vous un moment dans la semaine et faites ces opérations sur tous les appareils connectés que vous avez s’ils ne le font pas déjà automatiquement.

Bref, s’il est légitime de vouloir acquérir des objets connectés, il est également nécessaire de le faire en connaissance de cause et en acceptant de pouvoir bien s’en occuper et les entretenir. Dans mon cas, refuser de vivre dans une maison hyperconnectée, c’est 40 % d’inquiétude, 30 % de paresse, et 30 % de soucis environnemental. Après tout, acheter tant d’ordinateurs et de générer toutes ces données stockées sur les serveurs des compagnies — le cloud —, ça a une empreinte carbone assez significative.

Vous voyez, je ne suis pas tant parano.