L’internet des objets et la sécurité des infrastructures

Le terme "Internet des objets" est devenu un mot à la mode ces dernières années. Il fait référence à l'ère actuelle où les appareils électroniques de la maison et de la voiture sont connectés à l'internet. De nombreuses entreprises y voient de nouvelles opportunités commerciales. En même temps, comme vous le savez, de plus en plus de gens se demandent si ces appareils et ces voitures sont protégés de manière fiable contre les menaces en ligne.

Les IDO et les appareils connectés

La nature ouverte de l’Internet crée la possibilité de connecter des appareils, des applications et des services backend à une ampleur qui transforme la façon dont nous interagissons avec notre environnement et notre société. L’Internet des Objets ou IdO a un énorme potentiel pour changer notre monde pour le mieux. Les projections relatives à l’impact de l’IdO sur l’économie mondiale sont impressionnantes, prévoyant une croissance explosive du nombre de dispositifs IdO et leur utilisation dans une grande variété de nouvelles applications passionnantes. Selon une estimation,  les appareils connectés seront au nombre de 38,5 milliards en 2020, contre 13,4 milliards en 2015. En même temps, avec des milliards d’appareils, d’applications et de services IdO déjà utilisés, et de plus en plus nombreux à venir en ligne, la sécurité de l’IdO est de la plus haute importance. Les appareils et services IdO mal sécurisés peuvent servir de points d’entrée pour les cyberattaques, compromettant les données sensibles et menaçant la sécurité des utilisateurs individuels. Les attaques contre les infrastructures et d’autres utilisateurs, alimentées par des réseaux de dispositifs IdO mal sécurisés, peuvent affecter la prestation de services essentiels tels que les soins de santé et les services publics de base, mettre en péril la sécurité et la vie privée d’autrui, et menacer la résilience de l’Internet dans le monde.

Les menaces dans le monde d'objet connecté

Dans une interview accordée à USA Today, un expert en information a décrit l'Internet des choses comme l'Internet des menaces. Cela correspond aux déclarations faites par le président de l'organisme de régulation américain FCC au CES 2015 à Las Vegas. Et l'internet des objets ne peut pas se soustraire à l'aspect sécuritaire, mais personne n'a encore trouvé la meilleure solution à ce GRAND problème de sécurité, tout comme pour les autres cyber-menaces auxquelles nous sommes confrontés aujourd'hui. Cependant, l'Internet des objets et son énorme potentiel a été reconnu comme le nouveau marché. Selon un article paru dans Forbes en août 2015, Cisco, par exemple, estime que la valeur économique de ce que Cisco appelle "l'Internet de tout" s'élèvera à 19 billions de dollars. Gartner estime que les fabricants de produits et de services pour l'Internet des objets réaliseront un chiffre d'affaires de 300 milliards de dollars d'ici 2002. Les dispositifs qui saisissent et stockent des données biométriques personnelles, des informations sur la santé et des données de localisation, comme les vêtements omniprésents, entrent également dans le champ d'application de l'internet des objets. Mais ce n'est pas un risque trop important. Ces dispositifs contiennent des données personnelles, mais aucune infrastructure de notre vie et de notre société n'est touchée. Et vous pouvez facilement minimiser le risque de fuite de données en ne portant pas d'articles portables pendant l'entraînement physique ou en cessant d'utiliser les services en ligne. D'autre part, le véritable Internet des objets est constitué de systèmes et de services traditionnellement appelés "M2M" ou Machine to Machine. Celles-ci sont étroitement liées aux infrastructures environnementales et sociales, de sorte que la sécurité informatique est extrêmement importante, car il s'agit d'infrastructures critiques.

Réseaux intelligents ou de micro-réseaux

Vous avez donc peut-être entendu parler de réseaux intelligents ou de micro-réseaux. Ces systèmes gèrent la consommation d'électricité régionale en équilibrant l'électricité consommée à la maison avec l'électricité produite par les systèmes éoliens, solaires ou de gaz auxiliaire. Des compteurs dits "intelligents" sont installés dans chaque foyer pour contrôler l'ensemble du processus. La Tokyo Electric Power Company, par exemple, a déjà installé des milliers de ces compteurs intelligents. C'est la première étape vers la mise en place d'un réseau intelligent dans un avenir proche. Mais comment les cybercriminels peuvent-ils abuser de tout cela ? Ils pourraient augmenter leurs coûts en transmettant de fausses données sur la consommation d'énergie. Il n'est pas difficile d'imaginer les possibilités d'attaques sur les infrastructures critiques. En reprenant les systèmes de feux de circulation, on peut perturber la circulation, provoquer un accident de voiture ou perturber les transports publics. De telles attaques affecteraient également notre vie quotidienne et notre économie. Auparavant, les listes des causes de dysfonctionnement n'incluaient que les erreurs/défaillances des logiciels/systèmes ou les catastrophes naturelles. Les cyberattaques doivent maintenant être ajoutées à cette liste.

La sécurité du système

Il est essentiel de tirer les leçons des incidents de sécurité et introduire des mécanismes plus sûrs pour tous les systèmes sur l'internet des objets qui font partie de notre vie quotidienne et de nos infrastructures. Plus précisément, les opérateurs et les développeurs de systèmes d'Internet des objets doivent se poser des questions. Il est extrêmement important de limiter la possibilité d'utilisation pour les attaquants afin d'améliorer la sécurité du système. Et la facilité d'utilisation par l'utilisateur signifie également la facilité d'utilisation pour les attaquants. L'année dernière, il a été signalé que les webcams étaient utilisées dans leurs paramètres par défaut pour des attaques contre la vie privée. Cet incident nous montre que les fabricants doivent toujours penser à la sécurité. Et il ne faut pas non plus oublier le cryptage des données et des communications. Les programmes fonctionnent de toute façon en mémoire, de sorte qu'un attaquant peut toujours trouver des moyens d'attaquer. Les périphériques réseau sont pour la plupart développés avec Linux et il est connu que Linux contient également de nombreuses failles de sécurité exploitables. Une fois qu'un attaquant a pris le contrôle d'un appareil, il peut pirater l'ensemble du système de l'Internet domestique des objets. Tout dispositif peut être attaqué et pris en charge. Il est donc extrêmement important de surveiller la sécurité de l'ensemble du système, y compris les dispositifs en réseau. Il est également important qu'il soit possible de détecter des anomalies dans n'importe quel appareil. Rappelez-vous comment Stuxnet a pu infiltrer les systèmes iraniens qui auraient dû être bien protégés. Les tests de pénétration sont extrêmement importants. Les tests doivent être soigneusement planifiés et réalisés en fonction des exigences de sécurité du système. Il est recommandé d'intégrer ces tests dans le processus normal de développement. La sécurité est l'un des facteurs essentiels. Il doit donc être inclus dès le début de la planification d'un système ou d'un service, mais aussi pendant son développement. Sans mesures de sécurité suffisantes, l'internet des objets ne peut pas devenir un élément sûr de la vie et des infrastructures de vie. Si une seule de ces questions reçoit une réponse positive, cela peut conduire plus tard à de gros problèmes pour le développeur, le fabricant, mais aussi pour beaucoup d'autres personnes.