Objets connectés

(Redirigé depuis IoT)

Le terme objets connectés me semble plus approprié que l'internet des objets, qui prend les choses dans le mauvais sens en partant d'internet pour arriver aux objets, et qui est également trop limitatif car le vrai enjeu n'est pas tant d'être sur internet que d'être relié à d'autres objets.

Les objets connectés existent depuis longtemps, sur l'échelle de temps informatique. Un ordinateur ou un serveur informatique étant des objets, il y a belle lurette que la connexion est faite. Le vrai changement est qu'en suivant la vague de miniaturisation et de banalisation des composants informatiques, on peut désormais coller partout ces composants, jusque dans votre pacemaker[1][2], permettant notamment des fonctions évoluées mais aussi de la communication avec d'autres objets, sur internet ou pas.

Cela concourt selon moi à rendre ces objets menaçants, car comme souvent toujours en informatique, la sécurité n'a été abordée qu'après coup, car le bénéfice immédiat (réel) a souvent coupé court à toute autre réflexion.

Marchera pas

Difficile de penser qu'on arrivera facilement à un niveau de sécurité acceptable dans le monde des objets connectés, car la multiplicité des acteurs[3] et leur féroce concurrence commerciale, le manque de culture sécurité et le coût nécessaires à cette sécurisation sont des freins puissants sur le chemin de cet objectif. Quant aux mauvaises habitudes, elles perdurent et les mots de passe par défaut continueront à nous jouer des tours, jusqu'à transformer un aspirateur[4][5] en espion (puisque les aspirateurs automatiques ont des caméras pour se diriger).

Innovons

Que n'ai-je entendu que j'étais un râleur patenté, un pessimiste né, un rétrograde primaire, tout ça parce que je pestais (et peste encore) contre l'innovation bête et stupide, ainsi que sa glorification béate (toute comme pour les start-up) sans prise de conscience de l'ensemble des enjeux liés à ladite innovation.

Aspirateurs connectés

A partir du moment où votre aspirateur[5] devient un objet connecté, attendez vous au pire. Toute caméra peut devenir un espion potentiel. Donc tout objet connecté, même anodin, peut recueillir (et donc transmettre) plein d'informations vous concernant, et à l'ère du big data, l'utilisation qu'on peut en faire est quasiment infinie.

Avions connectés

Cela fait beaucoup moins rire de parler du danger des connexions dans les avions que pour les réfrigérateurs : autant un frigo qui envoie du spam ou qui commande une pizza, cela prête à sourire, autant la perspective d'un avion qui s'écrase fait froid dans le dos. Or dans objets connectés il y a aussi avions connectés. Et le département de la sécurité intérieure aux Etats-Unis nous dit que ce n'est qu'une question de temps[6] avant qu'un avion ne soit piraté, avec les conséquences catastrophiques que l'on peut imaginer. Ils ont réussi à la faire avec un Boeing 737, on peut voir une analyse de risque ici.

Voitures et deux-roues connectés

Entre les scooters électriques (ou les vélos) en libre-service qu'il faut suivre pour leur entretien, ou les voitures se conduisant toutes seules, les interactions informatiques sont forcément très nombreuses. Donc récolte de données à gogo[7] et réutilisation par toujours contrôlée, surtout en cas de faille.

N'importe quoi connecté

Parfois on trouve des failles non seulement dans les objets connectés, mais aussi dans les centrales électroniques censées les contrôler. En gros, si par extraordinaire vous utilisez un objet connecté non troué (= non vulnérable), alors il faudra vérifier que votre hub[8] soit également bien protégé.

Menaces

DDoS et Botnets

Puisqu'il est si facile de prendre le contrôle d'un grand nombre de machines informatiques reliées à internet, les objets connectés sont tout naturellement d'excellents candidats pour construire un réseau de machines zombies (botnet). Et les méchants ne s'en privent pas. Les objets connectés piratables, zombifiables et contrôlables à souhait sont du pain béni pour les attaques de type DDoS (déni de service) ; Mirai en a été le premier exemple marquant.

Conséquences juridiques

Les conséquences juridiques sont difficiles à appréhender à l'émergence d'une nouvelle technologie (ou de son expansion). Or, tout comme la sécurité, les aspects juridiques sont trop souvent négligés[9], et ça n'est qu'au moment d'une catastrophe, d'une attaque ou d'un litige qu'on se rend compte qu'on ne maîtrise ni la situation technique ni les conséquences juridiques (et judiciaires) de cette technologie.

Sources

Voir aussi

Références

  1. (en) David Nield, « A Scary Vulnerability to Hackers Is Affecting at Least 456,000 Pacemakers in The US », sur ScienceAlert (consulté le 5 avril 2018)
  2. (en) Dan Goodin, « 465k patients told to visit doctor to patch critical pacemaker vulnerability », sur Ars Technica, (consulté le 5 avril 2018)
  3. (en) « When it comes to IoT Security, Liability is muddled », sur ThreatPost,
  4. (en) « IoT Robot Vacuum Vulnerabilities Let Hackers Spy on Victims », sur ThreatPost,
  5. 5,0 et 5,1 (en) « Positive Technologies experts discover dangerous vulnerabilities in robotic vacuum cleaners », sur Positive Technologies, (consulté le 28 juillet 2018)
  6. (en) « US Government Probes Airplane Vulnerabilities, Says Airline Hack Is ‘Only a Matter of Time’ », sur motherboard.vice.com,
  7. (en) « Electric Scooters Are Racing to Collect Your Data », sur ACLU of Northern CA, (consulté le 2 août 2018)
  8. Edmund Brumaghin, « Vulnerability Spotlight: Multiple Vulnerabilities in Samsung SmartThings Hub » (consulté le 2 août 2018)
  9. (en) « Black Hat 2018: IoT Security Issues Will Lead to Legal 'Feeding Frenzy' », sur The first stop for security news | Threatpost (consulté le 14 août 2018)