Le téléphone intelligent fait partie des cadeaux offerts à Noël. Attention de bien activer les paramètres de sécurité (Photo illustration Adobe Stock)
Enceinte connectée, tablette, smartphone, babyphone, ou tout autre équipement intelligent envahissent nos habitations. Ce sont autant d’objets connectés qui se cachent derrière ces cadeaux de Noël High Tech. Face à des risques cyber de plus en plus prégnants, sur quels critères de sécurité faut-il baser ses choix ?
Alors que le marquage CE qui matérialise l'engagement du fabricant du produit sur sa conformité en matière de sécurité, notamment pour les enfants, aux exigences fixées par la réglementation communautaire, la cybersécurité des objets connectés demeure, quant à elle, un domaine réservé aux spécialistes.
Si la notion de « cyberscore » des fournisseurs de services de communication devrait voir le jour en 2022 pour informer le citoyen sur le niveau de sécurisation des données, le même concept pour les objets connectés, qui permettrait une lecture claire et lisible par l’utilisateur, n’est toujours pas d’actualité.
On sait pourtant que les objets connectés sont de plus en plus la cible des cyber-attaquants. Une augmentation de 30 % du nombre d’attaques par malware visant l’IoT (Internet des objets) a été constatée par SonicWall en 2020 pendant la crise du COVID-19. En outre, une étude de l’Université Northeastern de Boston et de l’Imperial College London a également révélé que 88 % des appareils connectés grand public envoyaient des données à des tiers (autres que leur fabricant).
Alors comment passer un Noël connecté en (meilleure) sécurité ?
Alors que le marquage CE qui matérialise l'engagement du fabricant du produit sur sa conformité en matière de sécurité, notamment pour les enfants, aux exigences fixées par la réglementation communautaire, la cybersécurité des objets connectés demeure, quant à elle, un domaine réservé aux spécialistes.
Si la notion de « cyberscore » des fournisseurs de services de communication devrait voir le jour en 2022 pour informer le citoyen sur le niveau de sécurisation des données, le même concept pour les objets connectés, qui permettrait une lecture claire et lisible par l’utilisateur, n’est toujours pas d’actualité.
On sait pourtant que les objets connectés sont de plus en plus la cible des cyber-attaquants. Une augmentation de 30 % du nombre d’attaques par malware visant l’IoT (Internet des objets) a été constatée par SonicWall en 2020 pendant la crise du COVID-19. En outre, une étude de l’Université Northeastern de Boston et de l’Imperial College London a également révélé que 88 % des appareils connectés grand public envoyaient des données à des tiers (autres que leur fabricant).
Alors comment passer un Noël connecté en (meilleure) sécurité ?
La sécurité, un argument de vente
Si la question de la sécurité des objets connectés semble fondamentale, la réalité est tout autre. Une étude de Palo Alto Networks en 2020 dévoilait que 98 % des flux de données transitant par les objets connectés n’étaient pas sécurisés. Alors même que les objets connectés se comptent en milliards, les utilisateurs commencent à peine à prendre conscience des risques liés à l’exposition de leurs données personnelles (grâce notamment aux exigences du règlement européen sur la protection des données personnelles (RGPD)).
Face à un tel constat, une chose est certaine : un éditeur qui aura investi dans la sécurité du dispositif connecté qu’il vend, en fera obligatoirement la mention. Sans doute pas comme la fonctionnalité n°1, mais au moins dans le descriptif technique. À l’inverse, lorsqu'aucune mention ne fait état d’un système de sécurité, c’est clairement qu’aucun effort particulier n’aura été entrepris, aux risques et périls des utilisateurs… À bien vérifier donc.
Face à un tel constat, une chose est certaine : un éditeur qui aura investi dans la sécurité du dispositif connecté qu’il vend, en fera obligatoirement la mention. Sans doute pas comme la fonctionnalité n°1, mais au moins dans le descriptif technique. À l’inverse, lorsqu'aucune mention ne fait état d’un système de sécurité, c’est clairement qu’aucun effort particulier n’aura été entrepris, aux risques et périls des utilisateurs… À bien vérifier donc.
Se renseigner avant l’achat
Internet est une source précieuse d’informations, des plus farfelues, mais aussi des plus pertinentes. Parmi ces dernières, les tests et autres comparatifs de produits, systèmes et appareils divers et variés se trouvent facilement. Réalisés par des magazines ou associations de professionnels, par des blogueurs ou autres youtubeurs, ils permettent de recueillir un certain nombre de renseignements avant de faire son choix.
Si les fonctionnalités ou encore l’ergonomie sont généralement au cœur des débats, les questions de sécurité s’invitent de plus en plus dans les tests liés aux objets connectés. Et si ce n’était pas le cas, il est toujours possible de demander l’avis de la communauté des utilisateurs.
Si les fonctionnalités ou encore l’ergonomie sont généralement au cœur des débats, les questions de sécurité s’invitent de plus en plus dans les tests liés aux objets connectés. Et si ce n’était pas le cas, il est toujours possible de demander l’avis de la communauté des utilisateurs.
S’assurer de la provenance géographique de l’objet
Comme de nombreux produits issus de l’industrie, les objets connectés ne sont jamais produits à 100 % par un seul et même fabricant. Ce dernier joue souvent le rôle d’assembleur final d’éléments provenant d’un certain nombre de sous-traitants de rang 1 ou plus, éparpillés à travers le monde. Si bien qu’il n’est pas évident, y compris pour le fabricant lui-même, de connaître précisément la teneur exacte du produit qu’il commercialise.
Un objet connecté avec peu de traçabilité est donc un objet potentiellement dangereux. Il peut embarquer dans une puce électronique, à l’insu même du fabricant, un code malveillant ou un circuit malicieux qui laissera potentiellement fuiter des informations ou permettra de prendre le contrôle sur l’objet.
L’idéal est donc de pouvoir faire confiance à l’ensemble de la chaîne d’approvisionnement de l’objet convoité. Dans ce contexte également, il est souvent possible de compter sur la communauté et certains de ses membres toujours prompts à enquêter sur les provenances exactes des différents composants d’un produit.
Un objet connecté avec peu de traçabilité est donc un objet potentiellement dangereux. Il peut embarquer dans une puce électronique, à l’insu même du fabricant, un code malveillant ou un circuit malicieux qui laissera potentiellement fuiter des informations ou permettra de prendre le contrôle sur l’objet.
L’idéal est donc de pouvoir faire confiance à l’ensemble de la chaîne d’approvisionnement de l’objet convoité. Dans ce contexte également, il est souvent possible de compter sur la communauté et certains de ses membres toujours prompts à enquêter sur les provenances exactes des différents composants d’un produit.
Des mises à jour de sécurité sont-elles prévues ?
Pour tout ordinateur, tablette ou smartphone, quel que soit le système d’exploitation, des mises à jour sont régulièrement disponibles. Le système lui-même ou les applications installées réalisent des montées de version ; corrections de bugs, mais aussi et surtout correctifs de sécurité, suite à la découverte de vulnérabilités.
Toutefois, tout objet connecté, du moindre capteur à l’enceinte, en passant par le véhicule, n’a pas forcément cette même capacité embarquée de mettre à jour le logiciel et le matériel. Il convient ainsi au moment de la sélection de vérifier si des mises à jour sont envisagées et donc prévues par le fabricant. De plus un élément clé est d’en connaître la fréquence et surtout l’engagement des mises à jour de sécurité sur la durée. Car un objet connecté qui ne bénéficie plus de mises à jour est un objet, par définition, voué à une obsolescence très rapide et aux vulnérabilités associées.
Toutefois, tout objet connecté, du moindre capteur à l’enceinte, en passant par le véhicule, n’a pas forcément cette même capacité embarquée de mettre à jour le logiciel et le matériel. Il convient ainsi au moment de la sélection de vérifier si des mises à jour sont envisagées et donc prévues par le fabricant. De plus un élément clé est d’en connaître la fréquence et surtout l’engagement des mises à jour de sécurité sur la durée. Car un objet connecté qui ne bénéficie plus de mises à jour est un objet, par définition, voué à une obsolescence très rapide et aux vulnérabilités associées.
Les paramètres de sécurité sont-ils personnalisables ?
Sans être un as de l’informatique, il est toujours rassurant de pouvoir changer (au moins) les paramètres de sécurité (comme les droits d’accès, le nom d’utilisateur et le mot de passe, etc.) d’un objet connecté, quel qu’il soit. Et c’est encore mieux lorsque l’authentification est à double facteur. Avec un objectif prioritaire : limiter le risque de prise de contrôle de l’objet.
De façon plus globale, une interface de gestion permettant de paramétrer le mode de fonctionnement et le niveau de sécurité de l’objet est toujours un gage de confiance.
L’utilisateur, ne l’oublions pas, fait partie intégrante de la cybersécurité : c’est en effet en grande partie son comportement avec les objets qu’il utilise qui va influencer le niveau de risques auquel il sera soumis. Il faut donc bien utiliser les moyens de sécurité (même minimalistes) mis à sa disposition (authentification, mots de passe, penser à bien installer les mises à jour, etc.).
Au-delà les recommandations simples énoncées ci-dessus, il est impératif qu’à l’avenir des règles et recommandations claires (à la manière d’un cyberscore) soient mises à disposition du grand public, comme préconisé dans le projet de règlementation européenne (à partir de la norme EN 303 645) qui devrait être visible d'ici à deux ou trois ans sous la forme d’un label.
Pour en savoir plus sur la protection des objets connectés : www.secure-ic.com
De façon plus globale, une interface de gestion permettant de paramétrer le mode de fonctionnement et le niveau de sécurité de l’objet est toujours un gage de confiance.
L’utilisateur, ne l’oublions pas, fait partie intégrante de la cybersécurité : c’est en effet en grande partie son comportement avec les objets qu’il utilise qui va influencer le niveau de risques auquel il sera soumis. Il faut donc bien utiliser les moyens de sécurité (même minimalistes) mis à sa disposition (authentification, mots de passe, penser à bien installer les mises à jour, etc.).
Au-delà les recommandations simples énoncées ci-dessus, il est impératif qu’à l’avenir des règles et recommandations claires (à la manière d’un cyberscore) soient mises à disposition du grand public, comme préconisé dans le projet de règlementation européenne (à partir de la norme EN 303 645) qui devrait être visible d'ici à deux ou trois ans sous la forme d’un label.
Pour en savoir plus sur la protection des objets connectés : www.secure-ic.com
