COMMUNAUTÉS & EXPERTISES — Expertises

EXPERTISES - CYBERSECURITY CORNER

Hey Siri, Sécurité et Internet des objets?



iot.png

Crédit Photo: Excellium

Enceintes intelligentes, montres connectées… Notre univers quotidien se remplit de gadgets qui ont pour ambition de simplifier notre vie. Objectif fort bienveillant, mais qu’en est-il de l’intrusion dans notre intimité? Que cela induit-il dans notre vie privée?

Quel que soit le rapport de prévision que l’on consulte, les chiffres donnent le tournis, l’IoT est un domaine en pleine croissance: certains estiment qu’il y a déjà actuellement plus de 15 milliards d’appareils IoT dans le monde, et qu’il y en aura quatre fois plus d’ici 2025. Une chose est sûre, ils sont déjà parmi nous et ne sont pas près de partir.

Utiliser ou consommer sans comprendre, voici bien un syndrome actuel. Qu'est-ce qui nous pousse aujourd’hui à installer au sein de notre foyer une boîte qui communique avec on ne sait pas qui ou quoi d’ailleurs, et donc partage notre intimité? Bien que la réponse soit bien souvent «pour nous faciliter la vie au quotidien», on en vient ensuite à être rapidement outré de savoir ce que certaines sociétés dont nous utilisons gratuitement les services en font en contrepartie. 

Pour rappel, il est d’usage dans les communautés Internet ou des réseaux sociaux de dire: «Si c’est gratuit, c’est que vous êtes le produit!».

Au-delà de ce point, maîtriser ou au moins comprendre l’usage est un des enjeux de l’apparition de l’Internet des objets, notamment sur les aspects vie privée et sécurité de l’information. C’est-à-dire d’avoir cette posture permettant de comprendre les avantages mais aussi les inconvénients pour en avoir un usage maîtrisé et éviter des réactions passionnelles. 

Qu’est-ce que l’Internet des Objets?

L’Internet des objets a de multiples formes mais des caractéristiques communes, c’est un univers d’objets connectés entre eux qui s’échangent des données. C’est un système d’information composé d’une ou plusieurs familles de capteurs qui collectent de l’information pour la transférer dans une plate-forme au travers d’un réseau de communication. Cela ressemble fortement à nos traditionnels systèmes d’information, à ceci près: leur quantité et surtout le volume de données qu’ils produisent sont plus importants. 

Les champs d’application de ces technologies sont très larges comme par exemple dans la gestion des déchets, le transport, les villes intelligentes, la détection environnementale, les gadgets d’interaction sociale, les compteurs intelligents, la domotique…

Quels en sont les risques?  

De fait, l’IoT va poser d’importantes questions de sécurité de cybersécurité: de nombreux appareils et données collectées et échangées par des équipements souvent mal sécurisés, qui peuvent faire aisément l’objet d’attaques de hackers, obtenant l’accès à des données relatives à la vie privée,...

Si ces technologies sont déjà déployées, des failles existent depuis longtemps. L’explosion de l’IoT les rend seulement de plus en plus présentes du fait des volumes de composants déployés. Pas un mois ne passe sans qu’une nouvelle fuite de taille ne soit révélée. Par exemple, une entreprise de jouets connectés pour enfant a été impactée en février 2017 par une large fuite de données: des millions de messages vocaux d’enfants étaient accessibles sans identification préalable. L’entreprise Sonos qui a lancé ses premières enceintes intelligentes en janvier 2018 a dû rapidement revoir leur sécurité suite à la divulgation d’une faille de sécurité propre au développement au sein des enceintes. Ce niveau de protection induit de nombreux risques: non-respect de la vie privée, fuite de données sensibles, espionnage industriel, sabotage, etc.

Il existe déjà des outils sur Internet comme le moteur de recherche Shodan, moteur de recherche dédié à l’IoT qui inventorie des millions de composants IoT laissés sans protection, et donc accessibles par n’importe qui.

Comment répondre à ces enjeux?

En juin de cette année à l’occasion de sa conférence annuelle, Excellium a lancé l’initiative IoT Security & Privacy Expertise Center, qui se veut une initiative regroupant des prestataires ou institutions en rapport avec ces technologies IoT, les aspects sécurité ou de vie privée.

Cette initiative regroupe des actions dans les domaines de:

  • L’éducation (avec notamment le lancement d’une formation IoT Hackademy avec une première session en janvier 2019),
  • L’élaboration d’un référentiel de sécurité et vie privée en relation avec un institut de recherche luxembourgeois,
  • L’accompagnement par les membres de l’initiative de projets IoT,
  • Et enfin la mise à disposition du marché de solution de surveillance de ce type d’environnements.

À l’occasion de la semaine de la cybersécurité luxembourgeoise, qui aura lieu du 15 au 20 octobre, Excellium animera une journée entière (le 19 octobre) dédiée à l’IoT. Cette journée permettra aux participants de comprendre les initiatives pour rendre plus sûrs ces environnements mais aussi de rencontrer les différents acteurs de ce type de projets (des fabricants, des acteurs du transport, de la santé, des éditeurs,…) bref, l’ensemble de l’écosystème IoT réunit en un seul endroit.

En parallèle, avec le support de la société Agile Partner, des étudiants d’écoles disposant d’une filière IoT ou Big Data participeront à la concrétisation d’un projet IoT avec un accompagnement de spécialistes.

Inscription: https://www.eventbrite.fr/e/billets-iot-security-privacy-45340585913

Retrouvez toute l’actualité Cybersecurity Corner