Repenser  la sécurité par défaut des objets connectés, pour mieux distancer les  cybercriminels

Repenser la sécurité par défaut des objets connectés, pour mieux distancer les cybercriminels

Publié le 5 avril 2018 à 05h45

Alors que le 11e Forum International de la Cybersécurité (FIC) ouvre ses portes ce mardi 22 janvier 2019 à Lille, sous le thème « Security and Privacy by design », il est légitime de se demander si la démocratisation des objets connectés ne donne pas davantage de latitude aux hackers dans leurs attaques.

Tribune par Bastien Dubuc, Country Manager France, Consumer, chez Avast – En effet, ces derniers profitent de la multiplication des périphériques intelligents pour développer des offensives de plus en plus nombreuses et sophistiquées, qui vulnérabilisent considérablement les foyers.

Dans un futur proche, l’évolution des objets intelligents sera telle qu’il deviendra difficile d’acheter des appareils électroménagers ou électroniques non connectés à Internet. Comment, alors, prendre une longueur d’avance sur les cybercriminels, et espérer renverser la tendance ? C’est une question à laquelle Bastien Dubuc, Country Manager France, Consumer, chez Avast, propose un début de réponse :

« Les attaques sur les objets connectés se sont intensifiées, et cette tendance se confirmera en 2019. Dans ce cadre, il est impératif de considérer que les constructeurs et les utilisateurs finaux ont la responsabilité commune de protéger les objets connectés.

Les fournisseurs d’objets connectés doivent immanquablement se montrer plus rusés que les hackers, et placent la cybersécurité au cœur de leurs préoccupations, aux prémices de la conception. La sécurité est souvent reléguée au second plan dans le processus de fabrication, pour maintenir des coûts peu élevés, ou tout simplement parce que les entreprises ne sont pas expertes en la matière. Adopter cette stratégie est une erreur, car il suffit d’un périphérique non-sécurisé pour permettre à un hacker d’accéder à l’ensemble du réseau domestique de son propriétaire, et par extension, à ses données personnelles.

Il est par exemple très fréquent que les constructeurs attribuent le même mot de passe par défaut à tous leurs objets connectés. Parfois même, les objets sont commercialisés sans aucun mot de passe. S’il serait idéal de stopper cette pratique, il apparaît dans un premier temps opportun que les utilisateurs finaux soient forcés de modifier ce mot de passe par défaut par un autre, plus complexe, dès la première utilisation : pas de nouveau mot de passe, pas d’utilisation possible ! C’est une étape simple mais cruciale, dont la plupart des consommateurs ne mesurent pas l’importance.

Par ailleurs, si la mise à disposition régulière de patchs est indispensable, la première étape consiste surtout à rendre ces mises à jour possibles. En effet, de nombreux constructeurs utilisent des versions de logiciels obsolètes, rendant vulnérables les objets tant leurs failles sont connues de tous. Ils ne proposent cependant pas la possibilité de les actualiser ; en cas d’attaque sur l’objet intelligent, il n’y a dans ce cas pas d’autre solution que de le remplacer.

Dans ce contexte, il est indispensable que les constructeurs s’associent à des experts en sécurité dans l’élaboration de leurs appareils. Faire appel à des white hats hackers, ces pirates éthiques qui avertissent les entreprises suite à la détection de failles, permettrait de s’assurer que la couche de sécurité inclue dans l’appareil est suffisante. Ceux-ci pourraient, en amont de la mise sur le marché, tester la résistance des objets connectés aux cyberattaques élaborées. En outre, une politique de divulgation des vulnérabilités rendrait possible une meilleure collaboration dans le signalement et la résolution des problèmes.

Mais la cybersécurité est un combat perpétuel, et la lutte contre la cybercriminalité ne s’arrête pas à la conception de l’objet connecté. Des millions d’éléments malveillants apparaissent chaque jour, et il est illusoire de penser que de simples vérifications de sécurité au moment de l’achat suffisent à prévenir les attaques. Le propriétaire de l’appareil devra rester vigilant, et s’assurer de la sécurité de ce dernier tout au long du cycle de vie. Cette sécurisation passe par la modification régulière du mot de passe de l’objet, mais également du routeur auquel il se connecte, car il peut mettre en danger l’ensemble des appareils sur le réseau. Elle peut également se matérialiser par l’installation des mises à jour logicielles dès leur mise à disposition.

Dans un futur proche, recourir à l’Intelligence Artificielle (IA) pour identifier et bloquer les menaces telles que les malwares, botnets et autres atteintes à la vie privée deviendra indispensable. De nos jours, les attaques se développent trop rapidement pour que les humains puissent y répondre en temps opportun. L’IA a un rôle majeur à jouer dans la cybersécurité, mais toujours dans l’optique d’une collaboration homme-machine. Car si l’IA surpasse l’humain dans la détection des attaques massives, celui-ci reste au premier plan pour ce qui est de l’analyse poussée des attaques plus complexes. Quoiqu’il en soit, une plus haute considération de la sécurité par les constructeurs, dès la conception, ainsi que l’observation de règles élémentaires de sécurité par les consommateurs, représentent de solides facteurs d’inversion du rapport de force qui, aujourd’hui, avantage plutôt les cybercriminels. »