Alors que la multiplication des objets connectés rend leurs défauts de sécurité de plus en plus problématiques, l’agence de sécurité informatique européenne propose la mise en place d’un label certifiant qu’un objet est sûr. En espérant que cette volonté soit suivie, rapidement, de faits, car les enjeux sont considérables.
L’Internet des Objets (IoT) ne cesse de prendre de l’ampleur, tandis que le nombre d’objets connectés dans notre environnement ne cesse de croître. Or la majorité de ces objets ne disposent pas de système de sécurité ou de défense contre les cyberattaques réellement efficace.
Données personnelles récupérées, objets contrôlées à distance, virus propagés
Un état de fait hautement problématique en matière de traitement des données personnelles, qui pourraient facilement être récupérées par des hackers mal intentionnés. Mais le pire est imaginable : des méthodes de cyberattaque permettent de prendre le contrôle, à distance, d’un objet connecté ; quand cet objet est un système d’alarme, un gros appareil électroménager ou, pire, un véhicule ou un pacemaker, les conséquences, en matière de cyber-terrorismes, pourraient être effroyables.
Les objets connectés vulnérables sont également un excellent moyen de propager un virus : le botnet Mirai, par exemple, a profité de la faiblesse en sécurité de caméras connectées pour les transformer en armes de cyberattaque, développant son infection par une réaction en chaîne. Les conséquences furent spectaculaires : des sites populaire comme Twitter, Netflix ou CNN furent interdits d’accès, et un pays tout entier, le Liberia, se retrouva privé d’Internet.
Ni les constructeurs ni les consommateurs ne se préoccupent de la sécurité des objets
Autant dire que renforcer la sécurité des objets connectés est une nécessité. Mais les constructeurs semblent incapables de le faire sans y être obligés, pendant que les consommateurs ne voient pas l’intérêt de payer plus pour avoir un objet plus sûr.
Bruce Schneier résumait bien la situation des défauts de sécurité des objets connectés en affirmant, à l’automne 2016, que l’on constatait « un échec fondamental du marché » qui a « donné la priorité aux fonctions et aux coûts au détriment de la sécurité ». Il appelait de ses vœux la mise en place de régulations nationales et internationales devant l’ampleur des enjeux, car le marché des objets connectés ne risquait pas de le faire de lui-même « parce que ni l’acheteur ni le vendeur ne s’en préoccupent. Le marché tend à ne pas corriger les problèmes de sûreté ou de sécurité sans intervention des gouvernements ».
L’ENISA encourage la Commission Européenne à imposer un label de sécurité certifié
Au niveau européen, l’heure de la régulation semble avoir enfin sonnée : l’agence européenne pour la sécurité des réseaux et de l’information (ENISA) vient de publier sa position sur le sujet, qui se veut un recueil de suggestions pour la Commission Européenne. L’agence a travaillé en collaboration avec trois industriels, Infineon, le spécialistes allemands des semi-conducteurs, leader mondial sur le marché des composants pour cartes à puce, ainsi que deux autres fabricants de semi-conducteurs, le néerlandais NXP et le franco-italien STMicroelectronics.
L’ENISA encourage vivement la Commission à légiférer rapidement sur le sujet, pour mettre dès que possible en place un label européen, reconnu, basé que des mécanismes de certification. Le but est de veiller au respect des cadres réglementaires et des normes existantes, notamment pour la question centrale de l’authentification / autorisation, le point sensible des objets connectés.
Inciter les consommateurs à choisir la sécurité
Elle veut également mettre en place des processus et services pour aider l’industrie à mettre en place des fonctionnalités de sécurité dans les objets connectés. Le but est, à terme, de pouvoir valoriser les objets connectés dont la sécurité est optimale et pousser les consommateurs à les choisir.
L’enjeu est grand, les risques aussi. Espérons que des actions concrètes seront rapidement mises en place…