Alors
, qu’est-ce que j’ai retenu d’IPEXPO cette année ?
Tout d’abord,
, Excel est à des kilomètres de Paddington. Tellement loin en fait que j’essayais de
trouver la cabine du wagon-lit sur la ligne Jubilee ! Mais plus sérieusement, le contenu
le plus intéressant de l’émission pour moi était lié à la sécurité, et plus particulièrement à la façon dont
l’IdO a un impact sur la sécurité.
L’IoT – Internet des
choses.
Tout d’abord, j’aimerais clarifier ce qu’est ce nouveau mot à la mode, car tous les fournisseurs semblent désormais
avoir un lien ténu avec une « stratégie IoT ». Il est partout en ce moment,
et les tentatives de faire passer l’IdO ont été encore plus flagrantes que les efforts risibles
des équipes marketing de certains fournisseurs pour forcer un alignement avec une stratégie SDN.
En termes simples, l’IdO désigne un grand nombre d’appareils
connectés à l’internet.
Ce n’est pas
aussi révolutionnaire qu’on nous l’a fait croire, mais nous parlons de BEAUCOUP d’appareils
… des milliards… en fait, Gartner estime qu’à la fin de l’année dernière,
il y avait 3,8 milliards d’objets connectés dans le monde. Et par appareils, nous n’entendons pas seulement les ordinateurs, les téléphones
, les tablettes, etc. Nous parlons de machines à laver, de grille-pain, de bouilloires, de millions de
capteurs environnementaux mesurant des choses allant de la température au monoxyde de carbone et
même des jouets sexuels ! Et oui, nous devrions continuer à nous interroger sur la valeur réelle pour l’utilisateur final
d’un grille-pain connecté à l’internet. Les détracteurs diront que c’est totalement inutile
et ils pourraient bien avoir raison, mais n’oublions pas que de nombreux sceptiques disaient la même chose
à propos de l’internet à ses débuts.
La popularité constante de l’IdO (
) signifie inévitablement que des milliers de nouveaux vendeurs (
) apparaîtront, construisant un appareil connecté à l’internet avec une application pour
faire quelque chose de cool (ou de moins cool) et d’utile (ou de moins utile).
Alors
où la sécurité entre-t-elle en jeu ?
Pensez à un scénario quotidien de déploiement de l’un de ces nouveaux gadgets. Excité
par la perspective de lancer notre dernier jouet, nous ouvrirons la boîte et, dans une
hâte de le mettre sur le Net, nous nous connecterons par Bluetooth (probablement
en utilisant 0000 ou 1234 comme code PIN), nous introduirons le mot de passe sans fil et hey presto
nous pourrons maintenant lui parler. (Après avoir enregistré toutes nos coordonnées auprès du vendeur
en ligne, bien entendu). L’application graphique élégante
et l’image de marque étonnante nous donneront l’assurance qu’il s’agit d’un produit de qualité
.
En réalité, sur le site
, nous venons de détruire le modèle de sécurité de notre réseau domestique. Pourquoi ? Eh bien
, si vous deviez parler de sécurité, vous supposeriez probablement que le fait d’avoir un routeur
/ un pare-feu vous sécurise. (En supposant
bien sûr que votre mot de passe n’est pas le nom de votre animal de compagnie, de votre petite amie ou de votre petit ami
ou, pire encore, qu’il est laissé par défaut).
Faisons
quelques suppositions semi-raisonnables selon lesquelles les entreprises de sécurité en savent plus sur
la sécurité que les fabricants de « jouets ». Ainsi, si quelqu’un veut pirater votre réseau domestique
, il est peut-être plus facile de s’attaquer aux grille-pains et autres jouets/dispositifs IoT qu’à
le pare-feu.
Le hacker éthique
Ken Munro de
Pen Test Partners a publié un excellent exemple
de ce type de vulnérabilité.
Il
a piraté une poupée d’enfant qui stockait la clé Wi-Fi en texte clair. Il a pu extraire
la clé et accéder au réseau sans fil. Une fois qu’un pirate est sur le réseau
, il peut faire à peu près ce qu’il veut.
Vous
êtes peut-être assis en train de lire ces lignes et vous vous sentez en sécurité parce que vous n’avez pas beaucoup d’appareils
connectés à l’internet, mais ce n’est pas le cas. M. Munro a également découvert des vulnérabilités
dans des appareils grand public, notamment la télécommande vocale d’un téléviseur Samsung qui enregistre en fait
vos conversations. Si cela n’est pas assez choquant, que diriez-vous d’envoyer
cette conversation vocale sur le réseau sans la crypter ?
Alors
, quelle est la réponse ?
Tout d’abord,
, il s’agit d’éduquer. Les consommateurs doivent comprendre que chaque appareil
qu’ils connectent à leur réseau, aussi petit soit-il, représente un risque potentiel pour la sécurité
. Ils doivent obtenir l’assurance que l’appareil est « sûr » (idéalement
testé de manière indépendante) ou au moins démontrer que la sécurité a été sérieusement prise en compte
dans la conception et l’architecture de l’appareil.
Les vendeurs
doivent prendre la sécurité plus au sérieux, en particulier dans l’espace domestique des consommateurs
. Les appareils et les applications doivent être basés sur des conceptions où un modèle de sécurité et de protection de la vie privée
décent est inhérent, et non une réflexion après coup.
Pendant que
nous y sommes, il convient de mentionner que ce n’est PAS difficile. On n’attend pas des fournisseurs d’IdO
qu’ils inventent de nouveaux protocoles de sécurité révolutionnaires !
Commençons par quelques éléments de base (
).
- Toutes les communications doivent être sécurisées – Pourquoi ne pas utiliser SSL ?
- Les données stockées localement doivent être cryptées
- Les mots de passe par défaut devraient toujours être modifiés (rien de nouveau ici)
- S’assurer que le code local est obscurci
- Ne collectez/stockez pas de données à moins qu’elles ne soient essentielles au fonctionnement de l’appareil
.
L’IdO
est extrêmement passionnant et a le pouvoir d’améliorer positivement la façon dont
nous vivons, qu’il s’agisse de petits gains d’efficacité domestiques ou de
grandes solutions qui changent la donne dans l’industrie. Il est certainement facile de se laisser emporter par
le battage médiatique du « tout est possible », mais pour que nous puissions tirer en toute sécurité les avantages
de ces technologies intelligentes, nous devons revenir aux fondamentaux et ancrer
notre innovation dans la sécurité.
