Architecture Technique Objets connectés

La sécurité en cours de téléchargement

Mots clés : Informatique - Télécommunications

Sous la pression du marché, l’Internet des objets a négligé ses failles et oublié les leçons de vingt ans d’informatique.

Notre ordinateur nous le rappelle chaque jour, notre société est désormais reliée par de la fibre optique. Les informations et les capitaux empruntent les chemins d’Internet. La valeur se retire du monde matériel pour se nicher dans les serveurs, et la criminalité la suit. « La transition des entreprises vers une économie numérique constitue une occasion pour les pirates informatiques d’étendre leurs activités, observe Christophe Jolly, responsable commercial des solutions de sécurité de Cisco France. Nous estimons que le chiffre d’affaires du piratage sera compris entre 400 et 600 milliards de dollars dans les prochaines années. » L’aubaine s’annonce d’autant plus gigantesque que les points d’accès au réseau ne cessent de se multiplier. Chaque objet connecté, notamment lorsqu’il est installé dans les bâtiments, représente une porte d’entrée dont la serrure se révèle parfois mal conçue. La majorité des cabinets de sécurité informatique constatent en effet que ces nouveaux systèmes électroniques présentent souvent des failles de sécurité faciles à exploiter. « Il suffit d’un ordinateur, de logiciels téléchargés sur Internet, d’une dizaine d’euros de matériel, explique Benjamin Leroux, consultant en sécurité de l’entreprise Advens. Les constructeurs manquent encore de connaissance dans l’évaluation des risques. Ils sont par ailleurs pressés de commercialiser leurs appareils. »

Des erreurs rédhibitoires.

Cette absence d’expérience et de temps mène à des aberrations. Des séries de produits possèdent toutes le même mot de passe par défaut, et l’acheteur n’a pas l’obligation de le changer. D’autres ne cryptent pas leurs communications. En cas d’interception d’un message, il est possible de découvrir les informations nécessaires pour prendre le contrôle du dispositif. « Même avec des caméras de surveillance installées sur le réseau IP du bâtiment, on constate occasionnellement que les flux ne sont pas chiffrés », remarque Frédéric Lussignol, architecte de la sécurité des systèmes d’information et animateur de communauté sécurité de Spie ICS. Enfin, la protection contre les attaques physiques reste approximative. Dans certains cas, il est ainsi possible de récupérer la mémoire électronique de l’objet et de s’emparer de données essentielles, telles que les clés de cryptographie ou le logiciel embarqué dans l’objet.

Si les avis convergent quant aux lacunes de ces technologies, chacun voit midi à sa porte. Les ingénieurs en informatique recommandent un recours accru à leurs services lors de la conception des appareils. Mais « agir à l’échelle du produit semble difficile, objecte Christophe Jolly. Les gammes évoluent rapidement. En revanche, les objets emploient tous des réseaux. La démarche la plus simple consisterait à intégrer la surveillance des flux d’information dans ces infrastructures ». Ces deux approches idéales devront sans doute être ajustées en fonction des applications du système. « Dans ce contexte, il est nécessaire que les maîtres d’ouvrage puissent s’appuyer sur des sachants, analyse Jérôme Nier, responsable du développement de l’activité Internet des objets de Spie ICS. Les intégrateurs devront apparaître comme des professionnels compétents dans ce domaine. » Une longue période de formation s’ouvre donc pour la filière du bâtiment.

Prise connectée simpliste.

Créé en 2010, le laboratoire de haute sécurité (LHS) du Centre de recherche informatique de Nancy étudie, entre autres, les lacunes des objets connectés. L’une de ses découvertes les plus significatives concerne une prise connectée par le biais du Wi-Fi. Tous les modèles possédaient le même mot de passe par défaut. L’interface destinée à l’utilisateur, simplifiée à l’extrême, ne proposait pas de le modifier. « Ces prises sont reliées à votre box Internet. Si votre réseau Wi-Fi domestique est mal sécurisé, il est possible d’espionner vos opérations informatiques », constate Loïc Rouch, chercheur au sein de l’équipe Supervision des réseaux et services dynamiques (Madynes). Si une intrusion porte préjudice au client, elle nuit aussi au constructeur. « Un pirate peut extraire les logiciels contenus dans l’objet. Il n’est pas rare de voir ensuite apparaître des clones à bas prix provenant d’Asie », souligne Renaud Lifchitz, consultant en sécurité pour la société Digital Security.

Par ailleurs, ce cas met en évidence un autre défaut propre à la domotique : l’appareil a été commercialisé en 2014, mais son logiciel avait été développé deux ans plus tôt. « Plus un logiciel est ancien, plus ses failles sont connues, indique Loïc Rouche. Par ailleurs, il n’a pas vocation à être corrigé par une mise à jour. »

Cloner un contrôleur.

Autre exemple de faiblesse, les chercheurs du LHS sont parvenus à créer une copie d’un contrôleur domotique qui emploie le protocole sans fil Z-Wave. Cette machine sert d’intermédiaire entre un occupant et les différents appareils installés dans son habitat. Elle contient une interface informatique où l’utilisateur peut enregistrer ses consignes. Le boîtier les transmet ensuite par onde radio aux autres systèmes. Chaque contrôleur possède un identifiant unique. Ainsi, les objets n’acceptent que les messages provenant du dispositif dont le numéro leur a été indiqué.

Cependant, une certaine gamme possède une faille. Le produit offre la possibilité de sauvegarder la configuration du dispositif. Or, lors de la restauration de cette sauvegarde, un informaticien peut, en quelques manipulations, modifier l’identifiant de son contrôleur. Et s’il dispose de l’identifiant d’un autre modèle, il peut envoyer des ordres à cette autre installation. « La possibilité de restaurer un environnement part d’une bonne intention, note Frédérick Beck, ingénieur de l’équipe Madynes. Toutefois, le programme a été mal développé. » Renaud Lifchitz confirme ces lacunes de programmation : « Ce phénomène touche même des systèmes relevant de la sécurité. Certains dispositifs de contrôle d’accès sans contact reposent sur une norme RFID obsolète depuis une décennie. Créer un badge [et pénétrer dans n’importe quelle société] se révèle trivial. »

Vous devez être abonné au moniteur pour lire la suite de ce contenu
PAS ENCORE ABONNÉ
ENCADRE

« Des défauts comparables aux débuts d’Internet »

« Du point de vue de la sécurité, le marché des objets connectés manque encore de maturité. En effet, celle-ci est comparable aux protections conçues au début d’Internet. A cette époque, peu d’industriels envisageaient qu’un tiers puisse écouter leurs réseaux ou les attaquer. Tous les e-mails étaient alors envoyés en clair. Bon nombre de protocoles spécifiques à l’Internet des objets reproduisent aujourd’hui la même erreur. De nombreux constructeurs sont à tort convaincus que cette catégorie de risque relève de la piraterie de haut niveau. Or, de nos jours, il est facile de se procurer le matériel et les compétences nécessaires sur Internet. Cependant, le secteur prend petit à petit conscience de l’intérêt d’intégrer la sécurité en amont des projets. Cette démarche coûte trois à cinq fois moins qu’une correction en fin de développement. »

Renaud Lifchitz, consultant en sécurité de Digital Security.

Vous êtes intéressé par le thème Chantiers ?
  • Découvrez les Cahiers Techniques du Bâtiment
    Le magazine qui traite des innovations produits, des évolutions techniques et de l’actualité règlementaire dans tous les corps d’états.
    Voir le site

Votre avis ?
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X