L’invité

Après le label énergétique, voici le cyberlabel

Les trois fleurons européens de puces électroniques (NXP, STMicroelectronics et Infineon) et l’Agence européenne pour la sécurité des réseaux demandent plus de régulation. Leur idée? Un marquage pour l’Internet des objets

Le label CE (pour conformité européenne) se trouve sur les produits électroniques. Il rassure le citoyen sur la conformité de son achat aux normes européennes de tout type. L’étendre à l’Internet des objets et à sa sécurité est une idée originale. Mieux: ce marquage pourrait s’inspirer de l’étiquetage énergétique des appareils ménagers, qui en qualifie l’efficacité. Selon la mission critique que l’objet connecté remplit, on saurait s’il a le niveau de sécurité requis. Il ne sera pas le même s’il doit agir en cas d’arythmie cardiaque ou s’il permet la publication sur Facebook de la performance au jogging. Le prix de ce dernier appareil resterait alors abordable pour l’usage qui en est fait.

A lire aussi: Comment protéger son ordinateur du redoutable virus WannaCry

L’Agence européenne pour la sécurité des réseaux (Enisa) explique la raison de sa proposition en faisant référence à l’incapacité du marché à s’autoréguler: les objets connectés sécurisés coûtent plus cher à produire (or le prix abordable des objets connectés est la clé de leur succès). Il n’y a de la part des consommateurs aucune sensibilisation à cet aspect des choses. Qui aurait pu croire qu’un capteur puisse faire autant de dégâts que l’attaque Mirai fin 2016? Cette dernière a rendu inaccessibles des sites américains à très forte fréquentation en infectant des centaines de milliers de caméras connectées à Internet et mal conçues.

Le problème des objets connectés

Il est aberrant qu’il n’y ait, à ce jour, aucun niveau de sécurité de base obligatoire, recommandé ou même informel pour les objets connectés. Tout le monde réalise qu’il faut mettre à jour son PC et y installer un antivirus. On sait un peu moins qu’il faut le faire aussi pour son smartphone. Pour un objet connecté, personne n’y pense, sans doute parce qu’il vit sa propre vie et que l’utilisateur oublie même son existence.

Certains secteurs, tels que la santé, pourraient prendre les devants, mais ce ne serait pas une bonne chose non plus. Le risque est de les voir adopter des normes dont les autres ne pourraient s’inspirer car elles seraient trop spécifiques à leur cas. On ferait face à une segmentation de la régulation, très contre-productive lorsque les effets d’échelle comptent pour être rentable. On a trop l’habitude du cavalier seul en Europe, qui ne peut pas rater ce virage technologique.

L’idée d’une cyberassurance et d’une modulation des primes en fonction du niveau de sécurité dans l’objet connecté est aussi intéressante, tout comme celle de voir les appels d’offres des administrations imposer des exigences de sécurité minimale dans les objets connectés pour les besoins des services publics.

L’exemple de Mirai

Mais les objets connectés sont-ils déjà des cibles pour les hackers? Bien sûr que oui. Symantec, dans son 22e rapport annuel sur la sécurité d’Internet, donne des chiffres. En 2016, le virus Mirai a mobilisé l’attention. Il transformait en adresses IP les noms de domaine comme twitter.com, netflix.com, cnn.com. Et, comme d’habitude, le code de Mirai a été rendu public, ce qui lui a assuré une descendance prolifique. Level3, qui fournit la connectivité internet au niveau mondial, a détecté 493 000 machines infectées, dont la moitié sont apparues après la publication du code.

Symantec, qui a mis en place un piège à virus pour objets connectés, a vu augmenter la fréquence d’attaque de 4,6 par heure à 8,8 par heure entre janvier et décembre 2016. Il cite les raisons de cette vulnérabilité: mots de passe codés en dur ou élémentaires (et jamais changés par leur propriétaire), impossibilité de mettre à jour le logiciel de l’objet connecté. Le pire est que l’attaque Mirai viendrait de «script kiddies», c’est-à-dire de hackers sans compétence particulière, qui se contentent d’assembler ou de réutiliser des codes prêts à l’emploi. Symantec liste aussi les dix mots de passe les plus utilisés lors des tentatives de connexion sur son piège. C’est édifiant: les virus tentent d’abord «Admin», puis «root», puis «123456» et ses variantes, et enfin «password». Si ces mots de passe sont testés par les virus, c’est que cela marche. On en pleurerait!

Aujourd’hui, les attaques contre les objets connectés ne visent qu’à les inclure dans une armée de zombies qui vont saturer un site de requêtes comme si celles-ci émanaient de centaines de milliers d’internautes. Les objets connectés ont en effet les mêmes systèmes d’exploitation qu’un PC ou un laptop (Linux ou Microsoft, qui propose une variante de Windows 10 pour l’Internet des objets). Ces sites sont alors indisponibles pour les vraies requêtes (un achat par exemple, entraînant donc une perte de revenus).

Une extorsion de fonds se produit souvent en échange de la fin de la cyberattaque, mais parfois ces attaques de déni de service sont là pour faire diversion et mobiliser les services informatiques. Une autre attaque plus ciblée et plus lucrative (vol de données) passera alors inaperçue. Mais demain, ces attaques viseront à rendre l’objet connecté hors service ou à lui voler ses données. Avec tous les usages attendus pour l’Internet des objets, ces données vaudront cher!

En fait, l’Internet des objets a un avantage concurrentiel énorme pour les hackers comparé aux PC: la barrière à l’entrée est très basse, il n’y a aucune sécurité à contourner!


Pour en savoir plus:

- «ENISA works together with European semiconductor industry on key cybersecurity areas», May 22, 2017, communiqué de presse et papier de position.

- «Internet Security Threat Report», Symantec, Volume 22, 27 April 2017.

Publicité