DigiCert Labs a lancé un grand chantier de recherche visant à catégoriser les appareils IoT sur des critères de sécurité et de vie privée. Ses travaux portent notamment sur les technologies IA et de reconnaissance de formes.

Nous sommes aujourd’hui entourés d’appareils capables d’enregistrer les sons ambiants sans notre consentement, de prendre des photos à notre insu et de transmettre nos données sans notre permission. En d’autres termes, le digital a des yeux et des oreilles partout. On regroupe souvent ces appareils sous l’appellation « d’objets connectés », eux-mêmes partie intégrante d’un nouvel écosystème baptisé « Internet des objets », ou IoT (Internet of Things). Alexa d’Amazon, caméras intelligentes de Nest, thermostats intelligents… ces nouveaux outils du quotidien grignotent lentement mais sûrement notre espace personnel.

Il y a peu, des chercheurs se sont rendus compte qu’Alexa pouvait enregistrer les sons ambiants sans le consentement des utilisateurs. Bien que ce type de fonctionnalité rende l’enceinte plus efficace, elle soulève toutefois un certain nombre de problématiques. Tout d’abord du point de vue du respect de la vie privée. Nichée dans un coin de votre cuisine, la petite Alexa peut enregistrer, stocker et traiter toutes les conversations qu’elle entend… Ensuite, il y a la question de la sécurité. Alexa pourrait notamment enregistrer puis répéter des commandes lancées par l’utilisateur pour activer ou désactiver d’autres objets connectés de la maison. On sait par exemple que l’enceinte connectée peut très bien activer et désactiver un système de sécurité.

Enfin, il existe d’autres problématiques de confidentialité associées à des appareils comme les robots aspirateurs. Sachant que ces aspirateurs intelligents peuvent enregistrer et transmettre les dimensions de toutes les pièces de la maison, tout cybercriminel qui parvient à compromettre l’appareil pourra espionner les membres du foyer à leur insu. L’aspirateur est livré avec un nom d’utilisateur et un mot de passe par défaut, ce qui rend sa compromission particulièrement aisée. Et ce n’est là qu’un exemple parmi tant d’autres d’empiètement sur la vie privée et de danger pour la sécurité des utilisateurs.

Chez DigiCert Labs, nous travaillons actuellement sur différentes méthodes de catégorisation des appareils IoT en fonction de leur atteinte potentielle à la vie privée et de leurs vulnérabilités de sécurité connues. Ces recherches s’appuient notamment sur l’intelligence artificielle et la reconnaissance de formes pour analyser le comportement des appareils IoT dans divers environnements.

Ce qui transparaît clairement pour le moment, c’est que l’on a grandement sous-estimé les capacités des appareils IoT à enregistrer et transmettre les données des utilisateurs sans leur consentement. En outre, le manque de procédures de sécurité dignes de ce nom, telles que l’authentification, augmente la vulnérabilité des objets connectés. On peut raisonnablement en conclure que nous sommes peut-être en train d’équiper nos maisons de mouchards susceptibles de nous causer énormément de tort. Il est donc essentiel de se demander si l’utilité de ces appareils vaut réellement de telles concessions sur les questions de vie privée et de sécurité.

Comme l’indique la récente enquête de DigiCert sur l’état de l’IoT en 2018, la sécurité des objets connectés est au cœur des préoccupations de la plupart des organisations. Toutefois, nombre d’entre elles ne savent toujours pas comment s’y prendre ni où investir. Résultat, un fossé se creuse entre les entreprises en pointe dans la sécurité IoT et celles qui ont pris du retard et finissent par en payer le prix fort.

Si certaines entreprises trouvent qu’une bonne sécurité coûte cher (65 % des entreprises sondées déclarent trouver le chiffrement trop onéreux), le fait est qu’il leur en coûtera bien plus de faire l’impasse sur la sécurité de l’IoT. Dans les entreprises les plus touchées, on a relevé pas moins de 34 millions de dollars de pertes sur deux ans. Le jeu n’en vaut vraiment pas la chandelle.

Et la pression ne fait que s’accentuer à mesure que les attaques basées sur l’IoT parviennent à provoquer la paralysie d’infrastructures critiques. Lorsque l’économie nationale ou la santé publique sera menacée, les entreprises seront bien forcées d’agir. L’État de Californie, la U.S. Food & Drug Administration, la Commission européenne et le gouvernement japonais travaillent déjà sur un meilleur encadrement juridique des appareils IoT.

Même s’ils est extrêmement complexe de protéger les consommateurs contre tous les abus de sécurité et d’invasion de la vie privée par les appareils IoT, nous disposons aujourd’hui de technologies capables de protéger ces appareils contre les accès non-autorisés et les authentifications illégitimes. L’une d’entre elles consiste à utiliser des méthodes d’authentification basées sur des certificats numériques ou une infrastructure à clés publiques (PKI) pour remplacer les noms d’utilisateur et les mots de passe. La signature de code permet également de sécuriser les démarrages et les mises à jour du firmware à distance, garantissant ainsi l’intégrité du code et l’absence de tout malware sur l’appareil.

Dans les prochains mois, DigiCert Labs publiera les résultats de ses expérimentations dans les domaines de la confidentialité et de la sécurité de l’IoT. L’objectif de cette démarche est de sensibiliser le public aux enjeux de sécurité et de confidentialité de l’IoT, mais aussi aux solutions innovantes qui permettent déjà d’écarter les vulnérabilités existantes.