Si quelqu’un dans l’industrie de la technologie estime que le risque de cyber-sécurité posé par l’Internet des objets est exagéré, alors, Daniel Miessler, directeur chez IOActive, une entreprise de sécurité, est désireux de le rencontrer directement. IOActive a publié un document détaillant la façon dont ses chercheurs ont pu prendre le contrôle d’un véhicule utilitaire sportif sans même qu’ils touchent la voiture.
Les conséquences de ce type d’attaque pourraient avoir des conséquences fatales, assure Daniel Miessler, mais les attaques sur les voitures pourraient être négligeables par rapport aux risques pour les transports en commun, les réseaux d’énergie, les services publics et les services de soins de santé.
Les attaques pourraient affecter « l’infrastructure qui est profondément enracinée comme la distribution d’énergie, ce qui est au cœur de ce que nous avons besoin en tant que civilisation », ajoute-il.
Daniel Miessler avertit que les assauts sur les infrastructures critiques pourraient même devenir classique, à la fois en raison de la guerre conventionnelle ou des cyber-attaques.
Son point de vue est largement partagé par ceux de l’industrie.
L’une des raisons de leur préoccupation est que l’ancien équipement dans des domaines tels que les transports et les services publics est connecté à des réseaux – même Internet – pour l’entretien et la surveillance.
Une grande partie du matériel existant a été conçu pour une ère pré-Internet et n’a pas les mesures de sécurité et de protection renfermées dans un ordinateur personnel.
Cesare Garlati, stratège en chef sur la sécurité au sein de PRPL Foundation, un groupe de logiciels open-source sans but lucratif, explique qu’une grande partie du matériel utilisé dans l’Internet des objets, y compris les systèmes de contrôle industriel plus âgés, ne sont pas conçus pour être «patché» ou mis à jour de la façon dont l’est un PC. Cela laisse des failles de sécurité potentielles ouvertes aux attaques.
Les systèmes industriels ne sont pas les seuls que les criminels pourraient exploiter. De nombreux appareils grand public connectés classiques sont également confrontés à des menaces cyber attaque.
« Les objets qui sont indépendamment pas dangereux peuvent présenter un risque s’ils partagent l’information», assure Cesare Garlati. « Personne ne sera trop inquiet si vous piratez un autoradio, mais le sera si vous pouvez vous attaquer à des objets qui sont essentiels dans la voiture. »
Il fait remarquer que dans l’électronique dans les voitures et les de systèmes de divertissement sont plus reliés que jamais.
Les appareils personnels peuvent également agir en tant que «porte dérobée» (back door) pour les systèmes informatiques des entreprises, tandis que les données qu’ils recueillent représenter une autre série de problèmes de sécurité et pourraient même place la société d’un utilisateur sous un risque d’attaque.
Chris Underhill, chef des technologies de l’information au sein des consultants de Cyber Security Partners, dit que même quelque chose d’aussi simple en apparence que les données recueillies à partir d’un bracelet de remise en forme d’une personne, pourraient aider des hackers à lancer une cyber-attaque contre la société de l’utilisateur.
Il dit que les criminels peuvent être en mesure de voir quand les personnel de sécurité sont en pause, ou lorsque peu de gens sont dans les bureaux, et donc qu’une attaque pourrait passer inaperçue.
Les objets de tous les jours peuvent fournir des «portes dérobées» pour les criminels
Les pirates pourraient même prendre en charge des milliers d’appareils, certains aussi simple qu’une ampoule, pour perturber une entreprise ou même une nation. Eteindre une ampoule pourrait être une farce, plonger un bureau dans l’obscurité pourrait perturber une entreprise, allumer des milliers de lumières à la fois pourrait perturber un réseau électrique entier.
«Les gens ne pensent pas ce qui pourrait arriver si quelqu’un essaie de faire quelque chose de malveillant à un dispositif», prévient Justin Lowe, expert en sécurité chez PA Consulting Group. « Un dispositif sans importance pourrait devenir important s’il est connecté à un système critique. »
Malgré ces préoccupations, peu d’observateurs estiment que le développement de l’Internet des objets va ralentir car il a trop d’avantages potentiels.
« Les humains veulent être en mesure d’interagir avec les machines de façon très efficaces et rapides, et les machines peuvent bénéficier de l’interaction avec les machines de cette façon aussi, » assure Daniel Miessler. « Cela pourrait être un grille-pain qui veut des informations du réfrigérateur, mais cela pourrait être aussi de l’information à provenance du système d’alimentation énergétique de la ville tout aussi bien.
« Il y a un avantage de les avoir connectés d’une manière plus rapide et directe», ajoute Daniel Miessler. « Mais les gens se précipitent vers cette connectivité, et nous devons composer avec les implications de sécurité. »
http://www.ft.com/intl/cms/s/2/38705196-be8d-11e5-9fdb-87b8d15baec2.html#axzz43FKFN3z0
