Votre conjoint ou conjointe surgit alors que vous êtes en train de regarder un film pour adultes à la TV. Mais si, la TV existe encore, et elle est maintenant connectée et intelligente ! Et donc piratable. Dites que vous regardiez les feux de l’amour et que la TV a zappé sur un autre canal sans vous demander votre avis. ;-)
Vous faites une rencontre sympathique, et vous l’invitez à dîner. Horreur, le frigo est vide. Expliquez que votre frigo a été piraté et qu’il n’a pas lancé le réapprovisionnement chez « RondPointFR ».
Vous trouvez cela peu crédible, et pourtant cela vous arrivera peut-être demain. Ou la semaine d’après. Cédant au monde merveilleux de l’Internet des objets, tous les équipements traditionnels de votre « sweet home » risquent de basculer du côté obscure de la force. Connectés à la toile, ils recevront des ordres malveillants de Washington, Moscou, ou Paris.
Internet des objets : quid des bonnes pratiques de sécurité ?
Pour leur connexion ces équipements utilisent des Linux Busybox et autres serveurs MiniHttpd et Apache. Mais les fabricants de frigo et de machines à laver sont assez peu au courant des bonnes pratiques de sécurité.
Premièrement, les constructeurs utilisent les paramétrages par défaut. C’est le grand retour des credentials demo/demo ou admin/admin.
Deuxièmement, les constructeurs ne prévoient rien pour mettre à jour les logiciels. Une vulnérabilité ne sera donc corrigée qu’à la mise en décharge de l’équipement.
Internet des objets = attaques par milliers ?
C’est donc « open bar » pour les hackers à 10 sous qui pourront :
- utiliser votre équipement afin d’en faire un relais de spam et le « blacklistage » rendra impossible la « Video on Demand » où le réapprovisionnent du frigo
- détruire toute votre garde-robe dans un cycle de lavage infernal : place au « defacement » du linge
- ruiner votre compte bancaire via des commandes sans fin
- observer votre vie privée via les capteurs et autres caméras qui équiperont votre domotique
C’est un peu comme pour la sécurité des SCADA. Mais les SCADA ont l’excuse d’avoir été conçus avant Internet, et d’y avoir été raccordés ensuite pour réduire les coûts réseau ou pour simplifier les processus.
La connexion d’un frigo à l’Internet n’est pas indispensable pour sa mission de base. Donc si on le connecte, alors il faut le faire de façon sécurisée !
Pour en savoir plus :
- « chérie, on a piraté le frigo ou la sécurité de l'internet des objets »
- « l'Internet des objets : de nouveaux défis en matière de sécurité »
Eric
Crédit photo : © BTRSELLLER - Fotolia.com
Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.