Archives de catégorie : IOT

Cybersécurité, IOT

Internet des Objets et respect de la vie privée peuvent–ils aller de pair ?

Les avancées technologiques nous plongent dans un monde dans lequel nos façons de vivre peuvent être imaginées presque sans limite. Avec l’Internet des Objets (IdO), ce qui semblait être autrefois de la science-fiction est maintenant une réalité et deviendra prochainement la norme.

De nos jours, il n’est pas difficile d’imaginer un monde dans lequel notre voiture, sur le chemin du domicile, parle à notre thermostat, garantissant ainsi que qu’il soit chauffé à notre arrivée. On peut également imaginer que notre réfrigérateur commande automatiquement les aliments dès qu’il commence à en manquer. Cependant, alors que tant d’aspects de nos vies sont connectés, comment peut-on en profiter sans mettre en péril notre sécurité ou le respect de notre vie privée ? Abordons cinq faits importants à savoir sur l’émergence de l’Internet des Objets et son incidence sur notre vie privée :

Des sommes colossales investies dans l’Internet des Objets
Selon les récentes estimations, on s’attend à ce que l’investissement mondial dans l’Internet des Objets représente 7,3 milliers de milliards de dollars (oui, il s’agit de milliers de milliards) d’ici 2017. De nombreuses sociétés explorent de manière intensive de nouveaux projets collaboratifs et créatifs sur l’IdO pour s’implanter sur le marché et pour devenir plus compétitives. Nous avons tous vu par exemple, le lancement réussi de l’Apple Watch d’Apple. Celle-ci peut servir non seulement dans le cadre d’une activité physique, mais également pour la recherche médicale.

Une croissance qui aura des répercussions sur le respect de la vie privée
Alors que les sociétés ont de plus en plus recours à l’Internet des Objets pour fournir des services personnalisés, les consommateurs peuvent raisonnablement craindre que le respect de leur vie privée soit compromis. À cet égard, l’IdO fait face à des problématiques uniques, car les entreprises doivent avoir accès aux données personnelles des utilisateurs afin de fournir les services auxquels ces derniers s’attendent de plus en plus. Par exemple, les personnes possédant une Smart TV Samsung ont été choquées d’apprendre que ses fonctionnalités de reconnaissance vocale impliquaient « l’espionnage » des informations (potentiellement) sensibles qu’elles énonçaient. Les utilisateurs ont donc l’impression qu’ils ont peu de contrôle sur les informations partageables.

En même temps, l’expérience du respect de la vie privée à laquelle nous sommes habitués lorsque nous utilisons des sites Web (c’est-à-dire le fait de cocher une case indiquant que nous acceptons de partager nos données personnelles avec un site) n’est tout simplement pas transposable dans le cas d’un grand nombre d’appareils de l’Internet des Objets. En effet, où se trouve la case à cocher sur une ampoule intelligente ? Même si un appareil est livré avec une application qui peut être installée sur votre smartphone, si les experts ont raison quant au nombre d’appareils de l’Internet des Objets avec lesquels nous vivrons bientôt, nous aurons besoin d’une meilleure manière de gérer le respect de la vie privée.

L’Internet des Objets continuera à se développer si des protocoles adaptés sont offerts
Alors que de plus en plus d’objets et d’appareils acquièrent la capacité à « parler » entre eux, les sociétés doivent s’atteler à une tâche monumentale : celle consistant à s’assurer qu’elles peuvent donner aux utilisateurs le contrôle de leurs données personnelles, même si ces données sont collectées et gérées parmi des millions de réseaux sur lesquels de nombreux appareils sont connectés. Les utilisateurs veulent également pouvoir contrôler le partage des données de l’Internet des Objets afin de pouvoir partager ces données, entre autres avec leur famille et leurs amis, de manière pratique et ordonnée.

Dans ce but, des protocoles de l’Internet des Objets doivent offrir une approche cohésive de la gestion de l’identité afin de garantir que les liaisons entre appareils, utilisateurs et services du Cloud sont correctement établies aux bons moments, qu’elles sont basées sur des accords de confidentialité justes et, de manière toute aussi importante, que leur suppression est effectuée lorsque les parties concernées en font la demande.

Le contrôle des données par les utilisateurs est possible
Un organisme de normalisation nommé Kantara Initiative promeut plusieurs initiatives, dont l’Identities of Things Discussion Group (groupe de discussion sur l’identité des objets) et l’User-Managed Access (UMA) Work Group (groupe de travail sur le protocole UMA), afin d’apporter des solutions au problème de partage de données. UMA est un nouveau protocole conçu dans le but d’offrir aux utilisateurs un point de contrôle unifié pour autoriser l’accès aux services et aux données personnels, quel que soit l’emplacement où ces ressources se trouvent en ligne. Voici un exemple de la vie quotidienne: si Alice possédait une « voiture connectée » à l’Internet des Objets, elle pourrait l’intégrer dans son tableau de bord de partage en ligne prenant en charge le protocole UMA, sur lequel elle aurait la possibilité de configurer une préférence de partage afin de laisser son fils Jacob conduire la voiture, sans lui donner accès au coffre. En outre, son tableau de bord pourrait gérer des données provenant aussi bien des appareils électroménagers de sa cuisine que de toutes ses ampoules par exemple.

Les sociétés peuvent garantir le respect de la vie privée
La manière la plus pratique de protéger la vie privée consiste à utiliser des plateformes et des normes ouvertes cohérentes et bien validées permettant d’établir des connexions sécurisées et acceptées par l’utilisateur entre les appareils, les services et les applications. Une fois que les utilisateurs auront l’impression d’avoir le contrôle sur leurs informations, nous pourrons vraiment entrevoir la totalité du potentiel de tout ce que cette technologie a à offrir. (Par Eve Maler, vice-présidente du service Innovation et technologies émergentes chez ForgeRock).

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, IOT, Particuliers, Vie privée

Internet des objets : les risques de la maison connectée

En examinant un échantillon aléatoire des plus récents produits issus de l’Internet des objets (IoT), les chercheurs de Kaspersky Lab ont découvert de sérieuses menaces pour la maison connectée. En effet, de nombreux objets connectés présentent des vulnérabilités importantes, à l’instar de cafetières divulguant les mots de passe Wi-Fi de leurs propriétaires (comme nous vous le révélions il y a 3 semaines, NDR), de baby phones facilement piratables ou encore de systèmes de sécurité domestique commandé par smartphone et pouvant être leurrés au moyen d’aimants.

En 2014, lorsque David Jacoby, expert en sécurité chez Kaspersky Lab, avait décidé de tester le niveau de vulnérabilité des équipements connectés de sa maison en cas de cyberattaque, il avait alors découvert que la quasi-totalité d’entre eux étaient vulnérables. A la suite de ce constat, en 2015, une équipe d’experts antimalware a réitéré l’expérience, à une légère différence près : alors que Jacoby avait concentré ses recherches principalement sur les serveurs, routeurs et téléviseurs connectés au réseau, cette nouvelle étude s’est intéressée aux divers équipements connectés disponibles sur le marché de la domotique.

Domotique : quels dangers les objets connectés représentent-ils ?
Pour mener l’expérience, l’équipe a testé une clé USB de streaming vidéo, une caméra IP, une cafetière et un système de sécurité domestique, les trois derniers étant commandés par smartphone. Des expériences réalisées dans plusieurs salons et hackfests que l’éditeur d’antivirus a repris à son compte pour cette étude.

Grâce à une connexion au réseau du propriétaire, le piratage de la caméra du baby phone a permis de se connecter à l’appareil, d’en visionner les images et d’activer le circuit audio. Notons également que d’autres caméras du même fabricant ont également servi à pirater les mots de passe du propriétaire. L’expérience a également démontré qu’il était également possible pour un pirate se trouvant sur le même réseau de récupérer le mot de passe maître de la caméra et de modifier son firmware à des fins malveillantes.

En ce qui concerne les cafetières pilotées par une application mobile, il n’est même pas nécessaire que le pirate se trouve sur le même réseau que sa victime. La cafetière examinée au cours de l’expérience a envoyé des informations suffisamment peu cryptées pour qu’un pirate découvre le mot de passe donnant accès à l’ensemble du réseau Wi-Fi de son propriétaire.

Enfin, lorsque les chercheurs de Kaspersky Lab ont étudié le système de sécurité domestique commandé par smartphone, ils ont pu constater que son logiciel ne présentait que quelques problèmes mineurs et était assez sécurisé pour résister à une cyberattaque.

Une vulnérabilité a cependant été découverte dans l’un des capteurs utilisé par le système : le fonctionnement du capteur de contact, destiné à déclencher l’alarme en cas de l’ouverture d’une porte ou d’une fenêtre, repose sur la détection d’un champ magnétique créé par un aimant monté sur le châssis. Concrètement, l’ouverture fait disparaître le champ magnétique, amenant le capteur à envoyer des messages d’alarme au système. Toutefois, si le champ magnétique est maintenu, l’alarme ne se déclenche pas.

Pendant l’expérience menée sur le système de sécurité domestique, les experts de Kaspersky Lab sont parvenus, au moyen d’un simple aimant, à remplacer le champ magnétique de l’aimant fixé sur la fenêtre, ce qui leur a permis d’ouvrir et de refermer celle-ci sans déclencher l’alarme. Le problème dans cette vulnérabilité est qu’elle est impossible à corriger par une mise à jour logicielle : elle tient à la conception même du système. Mais le plus préoccupant réside dans le fait que ces équipements sont couramment employés par de nombreux systèmes de sécurité sur le marché.

« Heureusement notre expérience montre que les fabricants prennent en compte la cyber sécurité lors du développement de leurs équipements pour l’Internet des objets. Néanmoins, tout objet connecté commandé par une application mobile est quasi certain de présenter au moins un problème de sécurité. Des criminels peuvent ainsi exploiter plusieurs de ces problèmes simultanément, raison pour laquelle il est essentiel pour les fabricants de les résoudre tous, y compris ceux qui ne paraissent pas critiques. Ces vulnérabilités doivent être corrigées avant même la commercialisation du produit car il est parfois bien plus difficile d’y remédier une fois que des milliers d’utilisateurs en ont fait l’acquisition », souligne à DataSecurityBreach.fr Victor Alyushin, chercheur en sécurité chez Kaspersky Lab.

Afin d’aider les utilisateurs à protéger leur cadre de vie et leurs proches contre les risques liés aux vulnérabilités des équipements IoT au sein de la maison connectée, voici quelques conseils élémentaires :

1. Avant d’acheter un équipement IoT quel qu’il soit, recherchez sur Internet s’il présente des vulnérabilités connues. L’Internet des objets est un sujet brûlant et de nombreux chercheurs se spécialisent dans la recherche de problèmes de sécurité de tous types de produits, qu’il s’agisse de baby phone ou d’armes à feu connectées. Il y a de fortes chances que l’objet que vous vous apprêtez à acheter ait déjà été examiné par des experts en sécurité et il est possible de savoir si les problèmes éventuellement détectés ont été corrigés.

2. Il n’est pas toujours judicieux d’acheter les produits le plus récents qui sont disponibles sur le marché. Outre les défauts habituels des nouveaux produits, ils risquent de receler des failles de sécurité qui n’ont pas encore été découvertes par les chercheurs. Le mieux est donc de privilégier des produits qui ont déjà eu plusieurs mises à jour de leur logiciel.

3. Si votre domicile renferme de nombreux objets de valeur, il est sans doute préférable d’opter pour un système d’alarme professionnel, en remplacement ou en complément de votre système existant commandé par smartphone, ou bien de configurer ce dernier afin d’éviter que toute vulnérabilité potentielle n’ait une incidence sur son fonctionnement. S’il s’agit d’un appareil appelé à collecter des informations sur votre vie personnelle et celle de vos proches, à l’instar d’un baby phone, mieux vaut peut-être vous tourner vers le modèle radio le plus simple du marché, uniquement capable de transmettre un signal audio, sans connexion Internet. Si cela n’est pas possible, alors reportez-vous à notre conseil n°1.