Pour ne rien manquer de la transformation digitale

Abonnez-vous au Digest
Recherche
Depuis la cyberattaque d’ampleur subie par Dyn en octobre dernier, et dont le mode opératoire consistait à infecter des objets connectés, bon nombre de professionnels s’inquiètent de la capacité du secteur à renforcer la sécurité des devices. Certains en appellent au gouvernement pour agir, comme le révèle Business Insider.

Le 22 octobre 2016, Internet subissait l’un de ses plus importants piratages : une attaque DDoS qui a paralysé bon nombre de sites web en utilisant non pas des ordinateurs fixes, mais toute une batterie d’objets connectés : webcams, téléviseurs connectés, frigos ou encore toasters intelligents…

Ce n’est pas la première fois qu’une telle attaque se produit. Et ce ne sera certainement pas la dernière, comme le note Business Insider. C’est pourquoi de plus en plus de professionnels tirent la sonnette d’alarme et pressent le gouvernement d’intervenir – en régulant ou bien… en répliquant.

Des inquiétudes aux antipodes des préoccupations des utilisateurs d’objets connectés, qui se soucient nettement moins des questions de sécurité liées à leurs smart devices, comme l’explique l’expert en cybersécurité Mikko Hypponen, qui dirige l’unité de recherches de F-Secure :

« Les gens disent que [ces attaques] sont un signal d’alarme qui doit alerter sur la sécurité de l’IoT – c’est faux. Cela ne va rien changer. Pourquoi ? Parce que les gens se fichent de savoir si leur téléviseur est en train d’effectuer une attaque DDoS. Ils s’en fichent, même si vous leur dites : “Hé, ta télé rend des sites web inaccessibles à l’autre bout de la planète.“ Ils répondent : “Ok, cool, je m’en fiche. Tant que je peux regarder la télé et que ça fonctionne.“ »

iot

« Vous achetez un toaster, une machine à laver… Clairement, l’argument numéro 1 est la question du prix d’achat. L’argument numéro 2, c’est la couleur de l’objet. »


Crédit image : R3nda / Flickr.com / Licence CC BY 2.0

« La sécurité n’est pas un argument de vente »

Puisque la sécurité n’est pas une préoccupation particulièrement ancrée dans les habitudes des consommateurs d’objets connectés, leurs constructeurs n’en font pas une priorité dixit Mikko Hypponen :

« Le cœur du problème est que quand vous achetez un appareil, la sécurité n’est pas un argument de vente. Vous achetez un toaster, une machine à laver… Clairement, l’argument numéro 1 est la question du prix d’achat. L’argument numéro 2, c’est la couleur de l’objet. La sécurité n’entre même pas en ligne de compte, ce qui signifie que le constructeur va investir un minimum d’argent dans la sécurité du device qu’il crée. »

Et plus les objets connectés se multiplient, plus le problème risque de s’intensifier. « Il y a des gens qui disent que l’IoT “craint“, et qu’ils n’achèteront pas d’objets connectés. Cela ne va pas être possible à terme, ce n’est pas comme ça que cela fonctionne… Vous prendrez part à la révolution de l’IoT, que vous le vouliez ou non », précise Mikko Hypponen.

L’attaque, la meilleure défense ?

Le gouvernement doit-il donc intervenir et mettre les constructeurs face à leurs responsabilités ? Pas si sûr, selon Mikko Hypponen : « Je suis très divisé sur la question de la régulation, mais si c’est une nécessité, alors pourquoi pas… Il y a de toute façon déjà de la régulation sur les appareils. Ces derniers ne doivent pas vous électrocuter, prendre feu, ni faire fuiter votre mot de passe WiFi – je pense que ça pourrait être une bonne chose. »

Un constat qui n’est pas partagé par tous. Ainsi, Rob Graham, hacker et chercheur en cybersécurité, en appelle à une action plus significative : une attaque proactive, que mènerait la NSA afin de mettre au tapis les objets connectés compromis par une faille de sécurité. Car pour lui, légiférer ne servirait à rien, puisqu’un objet connecté interdit à la vente dans un Etat pourrait très bien ne pas l’être dans un autre.

Dans le même temps, le gouvernement américain ne serait pas resté inactif puisque, selon l’agence de presse Reuters, l’Intérieur travaillerait actuellement sur un portfolio de principes stratégiques pour sécuriser les objets connectés. Mais rien n’est encore tranché. La cyberattaque menée contre Dyn n’étant pas particulièrement sophistiquée, la réponse que peuvent y apporter les gouvernements doit automatiquement être forte, que ce soit sur le plan de la régulation ou, carrément, de la riposte. Affaire à suivre…