Les objets connectés, nouvel eldorado des pirates.

Il fut un temps où la société faisait une distinction entre le cyberespace, le monde numérique des ordinateurs et des pirates, et la réalité de chair et de sang connue sous le nom de meatspace. La moindre victime d’une attaque du cyberespace pouvait simplement se débrancher et se réfugier dans le monde fiable des objets physiques.

Aujourd’hui, des processeurs connectés ont envahi le monde réel. Ils sont désormais intégrés, partout, tout le temps. Ils animent nos jouets, pilotent nos voitures, et intègrent notre corps. L’ampleur du phénomène des objets connectés a définitivement introduit les vulnérabilités numériques dans notre monde physique.

Alors qu’une étude démontre que 80% des objets connectés menacent votre vie privée, les spécialistes de la cybersécurité ont dévoilé l’existence de failles parmi les nombreux objets connectés qui déferlent sur le marché. Pour l’instant, ces démonstrations techniques n’ont pas encore été utilisées à des fins malveillantes dans le monde réel, affirme Chris Rouland, membre de  l’Atlanta technology community. Mais ce spécialiste, qui a dirigé la société Endgame, a concentré l’activité de sa nouvelle start-up de cybersécurité Bastille, sur les risques de piratage des objets numériques. Il ajoute que la sensibilisation du grand public à ces risques de piratage des objets connectés s’est accrue ces derniers mois. « 2015 a été l’année charnière où nous avons vu une prise de conscience de la vulnérabilité des objets. L’entrepreneur en profite pour faire connaitre son nouveau slogan pour ses présentations PowerPoint: “Cyber Barbie fait maintenant partie de la kill chain.”

Automobiles connectées, une nouvelle insécurité au volant.

Les chercheurs Charlie Miller et Chris Valasek ont définitivement modifié la notion de “cyber-sécurité des véhicules» en désactivant à distance la transmission et les freins d’un Jeep Cherokee. En prévention, Fiat Chrysler a réagi en rappelant 1,4 millions de véhicules, en envoyant des clés USB avec une mise à jour des systèmes d’info divertissement vulnérables et en bloquant l’attaque contre le réseau de connexion Sprint de ses véhicules.

Cette attaque test sur Jeep a été la toute première d’une série de piratages visant l’industrie automobile. Lors de la conférence Defcon hacking d’Août 2015, deux chercheurs ont révélé une série de vulnérabilités sur la Tesla Model S permettant de se connecter au réseau de la voiture, de la démarrer, ou d’insérer un cheval de Troie d’accès à distance via le réseau. D’autres failles non testées autoriseraient l’accès à distance du véhicule. Tesla a réagi immédiatement en diffusant depuis une mise à jour over the air[1]de ses véhicules.

Toujours au Defcon, le chercheur en cyber sécurité Samy Kamkar a présenté son système Ownstar, à peine plus gros qu’un livre , capable de pirater le système de communication OnStar (sans W) sur un modèle de chez GM, de géo localiser, déverrouiller, et même démarrer le moteur du véhicule. Le chercheur a constaté que des failles similaires étaient exploitables chez d’autres constructeurs comme BMW et Mercedes. Quelques jours plus tard, des chercheurs de l’Université de Californie à San Diego ont exploité à distance un petit kit de contrôle que certaines compagnies d’assurance américaines imposent à leurs clients. Grâce à la radio de ce petit gadget, ils étaient en mesure de contrôler certaines fonctions d’une Corvette.

Tous ces piratages à visage découvert avaient pour but d’alerter non seulement l’industrie automobile, mais également les consommateurs et les organismes de réglementation responsables. «Les consommateurs devraient réaliser l’ampleur du problème, et demander aux constructeurs automobiles de réagir”, a déclaré Charlie Miller. « Ce genre de failles offre la capacité de nuire à la vie d’autrui »

L’équipement médical menacé

Les voitures piratées ne sont pas les seuls objets connectés potentiellement meurtriers, les équipements médicaux possèdent également des vulnérabilités offrant aux acteurs malveillants la possibilité de les détourner et les contrôler, avec des conséquences critiques.

Aux Etats-Unis, Le cardiologue de Dick Cheney alors vice-président a désactivé la liaison Wi-Fi du pacemaker de son patient par crainte d’une cyber attaque. L’expert en sécurité informatique chez IO Active, Barnaby Jack s’était déjà livré à une démonstration plutôt inquiétante lors du congrès Breakpoint 2012, démontrant la possibilité de pirater un stimulateur cardiaque à distance. Une démonstration destinée à sensibiliser les entreprises concernées à la cybersécurité face aux risques d’“assassinat anonyme”.

Le chercheur en sécurité Billy Rios s’est intéressé aux pompes à perfuser. Le spécialiste a trouvé des failles importantes qui permettraient à un pirate de modifier à distance la dose de médicaments administrés aux patients. Plusieurs fabricants de pompes à perfusion ont été informés de la faille,  certains ont corrigé les vulnérabilités, mais d’autres ont déclaré ne pas être concernés par ce genre de menaces.

L’armée dans le viseur

Les équipements militaires ne sont pas épargnés. De récentes nouvelles d’Edward Snowden ont permis à l’armée israélienne de découvrir que leurs drones avaient été piratés par ses alliés anglais et américains. Les armes sont également concernées. Les hackers Runa Sandvik et Michael Auger ont ainsi pris le contrôle d’un fusil de précision TrackingPoint Wi-Fi permettant de désactiver l’arme, faire manquer sa cible, ou designer une cible différente.

Connexion partout, sécurité nulle part ?

Pour tout produit de consommation donné, une entreprise propose désormais son équivalent connecté. Malheureusement, la sécurité de la connexion de ces objets ne semble pas être la priorité de ces sociétés.

Lorsque Mattel a ajouté le Wi-Fi à sa Barbie pour permettre des conversations en direct avec une intelligence artificielle, l’application smartphone de la poupée n’a pas été sécurisée permettant l’usurpation d’identité et l’interception de tous les enregistrements vocaux.

Un “réfrigérateur connecté Samsung, relié au Calendrier Google de l’utilisateur, n’a pas réussi à valider ses certificats SSL, laissant les informations d’identification des utilisateurs Gmail ouvertes au vol.

Même les moniteurs de bébé, malgré l’effrayante menace sur les enfants, ne sont pas sécurisés: Une étude de la firme de sécurité Rapid7 a constaté que l’ensemble des neuf moniteurs testés ont été relativement faciles à pirater .

Comme toute nouvelle technologie, les utilisateurs mettront un certain temps à assimiler des règles d’utilisation incluant des facteurs de sécurité. “Quand vous insérez une technologie innovante, vous rencontrez fatalement de nouveaux problèmes de sécurité.” Cette règle s’applique au consommateur d’objets connectés inoffensifs. Mais pour les produits pouvant menacer la vie d’autrui, que ce soit une arme à feu, un implant médical ou une voiture, les contrôles doivent être particulièrement poussés. En 2016, la cyber sécurité sera confrontée à ce nouveau défi sécuritaire qui cible désormais le monde réel et le quotidien de chacun d’entre nous. Dès lors, un marché de la sécurité s’imposera en créant une plus value mais aussi des inégalités face à de nouvelles menaces.

Stephane PRZYBYSZEWSKI


[1] OTA ou Over-the-air, est une technologie permettant d’accéder et mettre à jour à distance des données d’un objet connecté.