Paris, France | AFP | samedi 20/05/2017 - Les récentes attaques massives de "ransomwares", ces logiciels malveillants exigeant une rançon pour débloquer les ordinateurs qu'ils ont infectés, font craindre pour l'avenir des objets connectés, des jouets aux téléviseurs en passant par le réfrigérateur ou la cafetière, qui se multiplient dans nos foyers.
"Concernant l'attaque du week-end passé, il n'y a pas de risque pour les objets connectés. Elle touchait en particulier des systèmes avec Windows (...), et il n'y a pas d'objets connectés grand public aujourd'hui qui embarquent Windows pour fonctionner", assure à l'AFP Gérôme Billois, consultant chez Wavestone.
"En revanche, il y a déjà eu des attaques massives sur des objets connectés", rappelle-t-il. Le malware (logiciel malveillant) Mirai a ainsi récemment infecté par centaines de milliers des objets connectés mal sécurisés, non pas pour les bloquer, mais pour les transformer en zombies et créer des relais pour de futures cyberattaques.
Mardi à La Haye, le jeune prodige Reuben Paul, 11 ans, a épaté une galerie d'experts en cybersécurité en piratant le bluetooth de leurs appareils électroniques pour prendre le contrôle d'un ours en peluche.
Les objets connectés sont donc des cibles tout à fait crédibles, qui peuvent aussi bien siphonner des données que se transformer en mouchards. Selon des documents révélés en mars par Wikileaks, les services de renseignement américains sont capables de "hacker" des smartphones, des ordinateurs et des télévisions intelligentes, notamment pour prendre le contrôle de leurs micros et écouter ce qu'il se passe.
"Tous les autres objets connectés sont piratables, ça a été démontré, que ce soit la cafetière, le réfrigérateur, le thermostat, la serrure électronique, le système d'éclairage...", dit à l'AFP Loïc Guézo stratégiste cybersécurité Europe du Sud de la société de cybersécurité japonaise Trend Micro.
Plus généralement, comme le résume en toute modestie Mikko Hypponen, le responsable de la recherche du spécialiste finlandais F-Secure, dans sa "Loi d'Hypponen": "Lorsqu'un appareil est décrit comme étant +intelligent+, vous pouvez le considérer comme vulnérable."
- Sécurité négligée -
Ce qui concerne aussi tous ces objets en voie de "connectisation": des voitures - des démonstrations de prise de contrôle à distance de véhicules ont pu faire froid dans le dos -, des sextoys, des poupées, des vases qui préviennent quand il faut changer l'eau, des sangles de cheval ou des pompes à insuline.
Un cyberpirate peut-il donc me priver de café le matin, bloquer mon thermostat à 10°C, ou diriger mon GPS vers un abîme si je ne lui paie pas une rançon ? Théoriquement oui, répondent les spécialistes interrogés par l'AFP.
"La logique d'un cybercriminel, c'est de gagner de l'argent", dit cependant Gérôme Billois chez Wavestone. Il ne s'acharnera donc pas, selon lui, à s'attaquer à des petites séries.
Les télévisions connectées, en revanche, semblent être des cibles toutes trouvées car elles se généralisent plus vite, d'autant qu'elles ont un écran, support idéal pour demander la rançon.
"Demain, on peut imaginer des dispositifs où on attaque votre maison connectée, on la met sous contrôle, et on vous envoie le message par une autre voie", avance Loïc Guézo. Il suffira de perfectionner un peu les virus que l'on trouve clef en main sur le "darknet", cette cour des miracles des tréfonds de l'internet.
La question ne laisse évidemment pas indifférents les spécialistes de la cybersécurité, qui multiplient les solutions de protection de la domotique connectée, avec notamment des "box" venant compléter les routeurs des opérateurs télécom.
En amont, l'idée est aussi de travailler avec les fabricants pour leur apporter des fonctions de sécurité qu'ils intègreront dès la conception des objets connectés, ce qu'on appelle dans la profession "security by design".
Car la sécurité a été souvent négligée dans l'euphorie de la connexion tous azimuts des objets du quotidien.
"C'est extrêmement difficile d'évaluer la solidité d'un objet connecté sous l'angle de la cybersécurité", dit Gérôme Billois.
"En tant que consommateur, il est aujourd'hui impossible de savoir si l'on achète un objet connecté sécurisé ou pas. Il nous manque un label, comme on a le label CE qui nous garantit que l'objet ne va pas prendre feu, qu'il ne va pas être dangereux pour les enfants, etc".
liu/fka/jul/DS
© Agence France-Presse
"Concernant l'attaque du week-end passé, il n'y a pas de risque pour les objets connectés. Elle touchait en particulier des systèmes avec Windows (...), et il n'y a pas d'objets connectés grand public aujourd'hui qui embarquent Windows pour fonctionner", assure à l'AFP Gérôme Billois, consultant chez Wavestone.
"En revanche, il y a déjà eu des attaques massives sur des objets connectés", rappelle-t-il. Le malware (logiciel malveillant) Mirai a ainsi récemment infecté par centaines de milliers des objets connectés mal sécurisés, non pas pour les bloquer, mais pour les transformer en zombies et créer des relais pour de futures cyberattaques.
Mardi à La Haye, le jeune prodige Reuben Paul, 11 ans, a épaté une galerie d'experts en cybersécurité en piratant le bluetooth de leurs appareils électroniques pour prendre le contrôle d'un ours en peluche.
Les objets connectés sont donc des cibles tout à fait crédibles, qui peuvent aussi bien siphonner des données que se transformer en mouchards. Selon des documents révélés en mars par Wikileaks, les services de renseignement américains sont capables de "hacker" des smartphones, des ordinateurs et des télévisions intelligentes, notamment pour prendre le contrôle de leurs micros et écouter ce qu'il se passe.
"Tous les autres objets connectés sont piratables, ça a été démontré, que ce soit la cafetière, le réfrigérateur, le thermostat, la serrure électronique, le système d'éclairage...", dit à l'AFP Loïc Guézo stratégiste cybersécurité Europe du Sud de la société de cybersécurité japonaise Trend Micro.
Plus généralement, comme le résume en toute modestie Mikko Hypponen, le responsable de la recherche du spécialiste finlandais F-Secure, dans sa "Loi d'Hypponen": "Lorsqu'un appareil est décrit comme étant +intelligent+, vous pouvez le considérer comme vulnérable."
- Sécurité négligée -
Ce qui concerne aussi tous ces objets en voie de "connectisation": des voitures - des démonstrations de prise de contrôle à distance de véhicules ont pu faire froid dans le dos -, des sextoys, des poupées, des vases qui préviennent quand il faut changer l'eau, des sangles de cheval ou des pompes à insuline.
Un cyberpirate peut-il donc me priver de café le matin, bloquer mon thermostat à 10°C, ou diriger mon GPS vers un abîme si je ne lui paie pas une rançon ? Théoriquement oui, répondent les spécialistes interrogés par l'AFP.
"La logique d'un cybercriminel, c'est de gagner de l'argent", dit cependant Gérôme Billois chez Wavestone. Il ne s'acharnera donc pas, selon lui, à s'attaquer à des petites séries.
Les télévisions connectées, en revanche, semblent être des cibles toutes trouvées car elles se généralisent plus vite, d'autant qu'elles ont un écran, support idéal pour demander la rançon.
"Demain, on peut imaginer des dispositifs où on attaque votre maison connectée, on la met sous contrôle, et on vous envoie le message par une autre voie", avance Loïc Guézo. Il suffira de perfectionner un peu les virus que l'on trouve clef en main sur le "darknet", cette cour des miracles des tréfonds de l'internet.
La question ne laisse évidemment pas indifférents les spécialistes de la cybersécurité, qui multiplient les solutions de protection de la domotique connectée, avec notamment des "box" venant compléter les routeurs des opérateurs télécom.
En amont, l'idée est aussi de travailler avec les fabricants pour leur apporter des fonctions de sécurité qu'ils intègreront dès la conception des objets connectés, ce qu'on appelle dans la profession "security by design".
Car la sécurité a été souvent négligée dans l'euphorie de la connexion tous azimuts des objets du quotidien.
"C'est extrêmement difficile d'évaluer la solidité d'un objet connecté sous l'angle de la cybersécurité", dit Gérôme Billois.
"En tant que consommateur, il est aujourd'hui impossible de savoir si l'on achète un objet connecté sécurisé ou pas. Il nous manque un label, comme on a le label CE qui nous garantit que l'objet ne va pas prendre feu, qu'il ne va pas être dangereux pour les enfants, etc".
liu/fka/jul/DS
© Agence France-Presse