Quelque part au Vietnam, un homme cherche une boîte à chaussures dans une arrière-boutique ; une femme tranche du pain en Argentine et un enfant s’assoit sur les genoux de sa mère dans la salle d’attente de ce qui ressemble à une pharmacie française. Au même moment, une vache passe à la traite en Allemagne.
Tous sont filmés par des caméras de sécurité accessibles en ligne sans mot de passe. Ils ne se doutent sûrement pas qu’ils peuvent être observés par quiconque recherche des caméras non sécurisées sur Internet. La personne chargée de configurer la caméra aurait pu choisir de restreindre l’accès avec un mot de passe, mais sans cette protection, le contenu est accessible en ligne, aucun piratage n’est nécessaire.
Considérez maintenant que le nombre d’appareils connectés devrait doubler entre 2015 et 2020, pour atteindre 30 milliards. Chaque dispositif dépourvu de mot de passe ou doté d’un mot de passe faible rend Internet un peu plus vulnérable et dangereux. Malgré cela, les consommateurs achètent des appareils, les connectent à Internet et ne pensent jamais à les sécuriser, tant qu’ils fonctionnent.
Moniteurs d’activité physique, appareils de cuisine, ampoules… Cette année, nous serons écoutés, observés, reconnus et enregistrés par des téléphones, des assistants numériques et des caméras comme jamais auparavant.
Les données ainsi recueillies peuvent faire l’objet de piratages ou de fuites. Nous pourrions nous préoccuper des individus déséquilibrés à la recherche d’images de personnes nues qui ne soupçonnent pas que de telles images d’elles sont vues, d’arnaques financières, de publicités envahissantes ou de manipulations politiques, mais ce n’est pas tout… Les voitures partagent-elles nos habitudes de conduite avec les compagnies d’assurance ? Les aspirateurs commercialisent-ils des informations relatives à l’aménagement de nos foyers ? Pour la plupart des gens, ces risques demeurent hypothétiques et peinent à peser plus lourd dans la balance que le plaisir de tirer profit de l’Internet des objets.
En réalité, la « surface d’attaque » d’Internet augmente et nous avons déjà eu un avant-goût des conséquences désagréables.
En décembre 2017, trois jeunes hommes ont plaidé coupables devant un tribunal fédéral américain pour avoir créé, en 2016, une génération de logiciels malveillants appelée Mirai afin d’asservir des milliers de webcams, des Babyphones et autres appareils qui utilisaient les noms d’utilisateur et les mots de passe par défaut paramétrés en usine, de manière à mener des attaques par déni de service (DDoS) pour bloquer des sites web et des réseaux. Pour dissimuler leur identité, les auteurs ont partagé le code de ces logiciels et ainsi provoqué la multiplication des réseaux de bots informatiques de Mirai qui ont commencé à se faire concurrence (et le font toujours) pour contrôler les appareils à travers le monde. Ils ont réussi à bloquer temporairement certaines parties d’Internet aux États-Unis et en Europe, à travers une attaque à grande échelle contre l’entreprise Dyn, une importante société de gestion de serveurs DNS. En Europe, des banques et des fournisseurs d’accès Internet ont ainsi été victimes d’extorsions, de même qu’une université au New Jersey.
Offrir des « services de sécurité », qui étaient en réalité des extorsions voilées, faisait partie du plan initial sournois des auteurs de Mirai, tout comme accumuler des dollars grâce à la création de faux trafic sur les publicités en ligne au moyen de réseaux de bots informatiques. À l’époque, certains experts en sécurité soupçonnaient des acteurs gouvernementaux comme la Chine ou la Russie de tester la résilience d’Internet. Les véritables responsables se sont révélés moins menaçants, mais les risques que posent tous ces « objets » non sécurisés existent toujours et s’intensifient avec chaque nouvel appareil connecté.
Bien que le battage médiatique se concentre sur les gadgets et les appareils ménagers connectés, parmi les secteurs les plus concernés par l’Internet des objets, nous pouvons citer la santé, les transports, l’énergie et les services publics. La technologie offre de formidables opportunités d’améliorer l’efficacité et la qualité des services publics, de santé et des infrastructures.
En outre, le matériel informatique peu coûteux et la décentralisation de l’innovation fournissent un accès Internet à un nombre croissant de personnes, sous des formes plus diverses que jamais. Si cela constitue une raison de se réjouir, malheureusement dans la société actuelle du jetable, les appareils connectés sont rarement conçus pour offrir une sécurité satisfaisante sur la durée.
Puisque tous les logiciels deviennent vulnérables aux attaques ou aux dysfonctionnements au fil du temps, les mises à jour logicielles automatiques s’avèrent indispensables. Cependant, cela restera plus compliqué pour les petites entreprises qui vendent des appareils connectés à bas prix et ne possèdent pas les ressources et l’expertise de sociétés comme Google, Apple ou Amazon.
À qui demander des comptes lorsque la relation entre le fabricant et le consommateur se distingue par une telle opacité ? Pourrions-nous imaginer des règlements et des codes de conduite destinés à l’industrie qui garantiraient l’utilisation de mots de passe forts, aléatoires et uniques sur les appareils connectés ? Des dispositifs de sécurité techniques permettraient-ils de former un bouclier autour du réseau de l’Internet des objets d’une personne ? Pourquoi ne pas considérer la création de labels de fiabilité pour l’IoT, à l’instar des étiquettes pour l’alimentation bio ou les appareils économes en énergie ? Quel rôle peuvent jouer les concepteurs ? Ces idées, et beaucoup d’autres, doivent être étudiées, explorées et discutées en 2018.
Le problème clé provient du fait que l’Internet des objets croît plus vite et davantage que nous l’aurions imaginé. Certains risques concernent la sphère personnelle (par exemple le possible embarras ou les blessures que pourrait vous infliger une voiture piratée), alors que d’autres concernent le système ou l’environnement (comme la neutralisation d’un hôpital ou d’un réseau électrique). Quoi qu’il en soit, résoudre ce type de problème s’avérera coûteux lorsque les choses tourneront mal.
Actuellement, le terrain le plus réactif pour la sensibilisation reste les foyers : se comporter en consommateurs plus intelligents, en particulier en tant que parents pour protéger les enfants contre les jouets non sécurisés qui contiennent des microphones cachés, des caméras ou d’autres enregistreurs de données personnelles. Des poupées comme « Hello Barbie » et « My Friend Cayla » qui écoutent et parlent aux enfants ont fait la Une, car elles peuvent très facilement faire l’objet de piratage. D’ailleurs, l’Allemagne a interdit Cayla, qu’elle considère comme un « dispositif de transmission caché ». Il existe probablement d’autres possibilités de tirer parti de la réglementation existante de protection des consommateurs.
Nous devons nous préoccuper sérieusement de la façon dont nous traitons ces problèmes en tant que société, de la part que nous pouvons laisser à l’industrie, de celle qui relève du choix des consommateurs et de celle qui nécessite une réglementation.
Pour en savoir plus :
Predictions for Journalism 2018, News Games Rules, Mariano Blejman, 2017
How a Dorm Room Minecraft Scam Brought Down the Internet, WIRED, 2017
A Trustmark For IoT, Peter Bihr, ThingsCon, 2017
Privacy Not Included, An IoT Buyer’s Guide, Mozilla, 2017