View in

English

Sécur. inform.: Objets connectés : les murs ont des oreilles

Il ne faut pas s'attendre à ce que les objets connectés soient sécurisés

Les appareils dits « intelligents », ce n'est pas vraiment nouveau. Après tout, nos machines à laver, nos aspirateurs, nos cafetières et autres appareils domestiques sont suffisamment intelligents pour ce que nous attendons d'eux. Ou peut-être pas, justement. Le marché de l'électronique grand public s'est engagé résolument sur la voie de l'« internet des objets » : des appareils entièrement interconnectés qui, s'appuyant sur une puissance de calcul centralisée dans le nuage, utilisent l'intelligence artificielle pour nous faciliter la vie. Vraiment ?

Pour vous donner quelques exemples : un thermostat mis au point par Google constitue un système domotique complet permettant de gérer la température de chaque pièce. Ces systèmes mémorisent vos usages quotidiens, si bien que vous n'avez même plus besoin de régler la température.   Certains thermomètres médicaux « intelligents », ou certains grille-pains, ont des fonctions nouvelles qui les rendent supérieurs aux appareils traditionnels : vous pouvez les commander par une application de votre téléphone, ou transférer les paramètres à une autre personne, téléverser des informations sur Facebook, etc. Les assistants virtuels à commande vocale de nouvelle génération sont dotés d'une webcam qui vous permet d'évaluer votre tenue vestimentaire. Pour avoir une coiffure impeccable, une brosse intelligente permet d'optimiser le résultat, en tenant compte des informations météo comme l'humidité et la température de l'air.

Tout ça est formidable. Cependant, l'apparition des objets connectés dans votre quotidien pose le problème de la confidentialité des données :

Des données enregistrées par un assistant virtuel ont même été utilisées en justice, dans une affaire de meurtre où Alexa avait enregistré la scène. D’ailleurs, évitez de commettre une infraction si vous portez un bracelet connecté : les éléments enregistrés pourraient servir de preuve.

Et ce ne sont là que des exemples.

N’oublions pas pour autant l'aspect de sécurité informatique; pour cela, je vous renvoie à l'article  Sécurité informatique : « IoT, des trésors cachés », dans lequel sont décrits plusieurs risques de sécurité liés à ces dispositifs qui font partie de l'internet des objets. Là encore, on pourrait citer bien d'autres exemples.  En octobre 2016, le botnet Mirai a frappé près d'un million de clients de Deutsche Telekom en détournant des fonctions d'appareils connectés mal sécurisés. Cependant, il sera de plus en plus difficile de sécuriser en permanence tous ces appareils ; c'est pourquoi une protection plus large, par exemple au niveau de votre routeur sans fil, chez vous, ou le pare-feu du CERN, sont là encore votre dernière ligne de défense. Nous allons vivre une époque intéressante. Dans quelle mesure sommes-nous prêts à compromettre la sécurité informatique et la confidentialité de nos données personnelles pour disposer d'appareils plus pratiques ? 

C'est à vous de décider, en toute connaissance de cause, de la quantité de données personnelles que vous acceptez de laisser capter par des entreprises. Vérifiez si vous pouvez maîtriser le choix des données personnelles que vous acceptez de livrer. Et pour ce qui concerne la sécurité informatique, vous pouvez encore moins compter sur ces systèmes. Comme l'ont montré nos tests, mais comme le montrent aussi différents rapports présentés lors de la dernière conférence BlackHat, il ne faut pas s'attendre à ce que ces appareils soient sécurisés. C'est pourquoi il est important que votre mur pare-feu, à domicile, soit, comme c'est le cas au CERN, bien verrouillé afin qu'aucun intrus ne puisse s'infiltrer dans vos appareils.


Pour en savoir plus sur les incidents et les problèmes relatifs à la sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.