Objets connectés à l’IdO : des prodiges de simplicité qui cachent des failles de sécurité
En explorant les failles de sécurité d’une mijoteuse connectée à Internet, des chercheurs en sécurité des données de l’université de l’Indiana ont pris tout simplement le contrôle de l’appareil et d’autres appareils sur le même réseau WiFi. Mais aucun risque qu’un assaillant puisse y mettre le feu à distance. Ça, c’est la bonne nouvelle.
Voici la mauvaise : la connectivité à Internet est intégrée à beaucoup plus d’appareils que l’utilisateur n’imagine, des gadgets de cuisine qui se mettent en veille, des systèmes home cinéma et des jouets pour enfant. Dans un souci d’optimisation de sa consommation d’énergie et de simplification de la vie, l’utilisateur déploie un assortiment claironnant de robots qui génèrent, regroupent et partagent ses données via l’Internet des Objets (IdO).
On en arrive au stade où l’utilisateur ne sait même plus que ces appareils génèrent des données ni qui peut accéder à ces données ni les enjeux au niveau de la confidentialité, de la sécurité et même de la sécurité physique dans la maison. Et faire de la résistance devient de plus en plus difficile.
Des chercheurs du Centre d’ingénierie, d’informatique, de sécurité et de confidentialité de l’université de l’Indiana (SPICE), et son Centre de recherches en IdO à Bloomington, Indiana, ont déjà tiré la sonnette l’alarme.
Le Centre de recherches en IdO dispose d’un living lab appelé IoT House, financé par une subvention sur cinq ans de la Fondation nationale pour la science (équivalent aux États-Unis du CNRS). Il s’agit d’une maison remplie de détecteurs de fumée, de thermomètres, de systèmes d’éclairage, de jouets, d’appareils et autres gadgets, tous connectés à l’IdO.
« On a demandé à l’université un réseau sur lequel beaucoup des mécanismes de défense étaient réduits, pour reproduire un foyer typique, explique Joshua Streiff, chef de projet chez IoT House. » L’environnement a été soigneusement isolé du réseau de l’université afin d’éviter d’exposer les utilisateurs de la fac au trafic Internet ouvert qu’on trouve habituellement dans une maison de banlieue. Les chercheurs ont alerté les industriels et les universitaires sur les failles de sécurité découvertes sur les produits.
Joshua Streiff sort alors une jolie licorne en peluche chatoyante appelée CloudPet. Avec cet objet, l’enfant peut envoyer et recevoir des messages vocaux via un module Bluetooth basse consommation (BLE) embarqué dans le jouet. Le module répond à une appli mobile qui connecte les données à un serveur sur le cloud. Tout aussi adorable qu’abominable.
« Les chercheurs tirent la sonnette d’alarme au sujet des licornes CloudPet depuis des années. Elles ne sont équipées d’aucune sécurité. » —Joshua Streiff, Chef de projet, IoT House
« Les chercheurs tirent la sonnette d’alarme au sujet des licornes CloudPet depuis des années, s’exclame-t-il. Elles ne sont équipées d’aucune sécurité. Mozilla a convaincu Amazon et eBay de les retirer, ainsi la marque avait disparu, mais les jouets sont toujours dans la nature. Les fabricants arrêtent parfois de vendre des appareils IdO comme celui-ci, mais ne font pratiquement jamais de rappels de produits. »
Ce qui pose problème, c’est que le jouet peut géolocaliser un enfant et des messages trompeurs peuvent lui être envoyés. « Si j’avais de mauvaises intentions, je pourrais rouler dans une zone et retrouver l’endroit où vit l’enfant, explique-t-il. Je pourrais trouver le module BLE de la licorne et lui envoyer des messages, pour convaincre l’enfant que je suis un de ses parents et qu’il doit sortir. »
En décembre, le Washington Post raconte que des parents ont trouvé un cyberpirate hurlant des menaces et des obscénités dans leur caméra Nest, utilisée garder un œil sur leur bébé. « La caméra Nest n’a pas été piratée, relate Behnood Momenzadeh, un doctorant qui travaille à l’IoT House. Ce sont les boîtes mail des parents qui l’ont été et les cybercriminels ont pu accéder à leurs comptes Nest et changer les codes d’accès. C’est l’utilisation de ces différentes technologies ensemble qui a mis en danger cette famille. »
Le nounours intelligent de Fisher-Price est l’occasion d’une autre leçon sur les objets. Le jouet, conçu pour parler, écouter et apprendre, dispose d’une caméra installée dans son nez qui ne filme pas, mais qui est toujours allumée. « Cet ours en peluche constitue un risque parce que les concepteurs partent du principe que personne ne va jamais ouvrir ce bidule pour regarder à l’intérieur, commente-t-il. »
Le nounours contient en fait une tablette Android complète. « Celle-ci exécute toutes les fonctions habituelles d’une tablette, dont des vidéos et une boîte mail, poursuit-il. Elle dispose d’un port data d’ordinateur et on peut communiquer avec via un clavier à distance. Une attaque impliquerait donc d’ouvrir la peluche. Mais en trois minutes, je contrôle alors le jouet, où que je me trouve dans le monde. »
Cela dit, des intrusions insidieuses ont également lieu sur des sites plutôt sûrs en apparence. L’année dernière, des agents de sécurité d’un casino de jeu ont subi un vol de données au cours duquel des cybercriminels avaient volé la liste des clients qui misent gros, en passant par une faille de sécurité du thermomètre de l’aquarium du hall d’entrée de l’établissement. Les maisons individuelles, quant à elles, ne disposent aucunement du niveau de sécurité déployé habituellement dans les casinos.
Mais revenons à notre mijoteuse, fabriquée par Belkin et équipée de la technologie Wemo, développée par Belkin pour gérer la connectivité sans fil à l’IdO. Le problème, explique Joshua Streiff, c’est le présupposé de la conception embarquée, qui veut croire que chaque individu qui paramètre la mijoteuse connaît tout du réseau. Le logiciel est conçu pour rechercher d’autres appareils connectés auxquels se rattacher et donne à l’installateur le contrôle complet de ces appareils également. En outre, une commande à distance est possible, depuis le monde entier.
« C’est sûr, contrôler sa mijoteuse depuis son portable, c’est trop cool, mais cela signifie que je peux contrôler tout autre appareil qui n’est pas protégé par mot de passe, comme peut le faire toute personne qui réussit à se connecter à la mijoteuse. Si le thermostat de la maison et le réfrigérateur peuvent communiquer, la dépense d’énergie du foyer peut être grandement améliorée. Mais le problème, c’est qu’un cyberpirate pourrait très bien faire grimper la note d’électricité du domicile, et de beaucoup, via un objet comme la mijoteuse, sans mettre un pied dans la maison. »
L’heure est donc au compromis. Les ingénieurs souhaitent faire des jouets sûrs et préserver la confidentialité. De leur côté, les commerciaux veulent que les utilisateurs aiment l’objet qu’ils ont acheté. Le compromis se situe entre la sécurité et la facilité d’utilisation. Ils veulent que tous les appareils de tous les fabricants puissent se connecter entre eux, pour les mêmes raisons qu’avoir une télécommande universelle est mieux que d’avoir trois télécommandes. « L’utilisateur veut une application pour les gouverner toutes, ajoute-t-il avec un sourire. »
Les appareils dotés d’une caméra vidéo inquiètent tout particulièrement les chercheurs, mais les mêmes doutes subsistent sur les enregistreurs, et surtout les enceintes interactives activées par la voix, qui ont de plus en plus la cote, comme Amazon Echo et ses concurrentes. Il y a eu plusieurs cas dans la presse d’enceintes connectées qui enregistraient des conversations privées et qui les envoyaient à d’autres personnes. (On trouve maintenant une catégorie « histoires sordides d’enceintes connectées » sur des forums de conversations comme Reddit).
De telles failles peuvent-elles être effacées des appareils IdO pour la maison ? Et dans l’immédiat, que peut faire l’utilisateur pour éviter les problèmes ?
L’équipe de chercheurs SPICE propose quelques pistes. La première étant de changer les mots de passe par défaut. La plupart des piratages des appareils sont initiés par un botnet comme Mirai qui ratisse Internet à la recherche d’appareils en particulier. Puis le bot questionne ces appareils pour savoir si les propriétaires ont changé les mots de passe par défaut, qui sont connus du propriétaire du botnet. Si les mots de passe sont les mêmes, alors le cybercriminel prend le contrôle de l’appareil.
L’équipe IoT House team est en train de développer et de tester un système plus sophistiqué qui se sert de la norme MUDS (Manufacturer Usage Description Specification) pour décrire des communications acceptées pour les appareils IdO. Si un appareil IdO se met à communiquer en dehors du réseau prévu, alors le système interrompt la communication et prévient le propriétaire. Ainsi, si le nounours censé communiquer avec un serveur cloud se met à communiquer avec un serveur inconnu en Europe de l’Est, le système protège la maison et ses propriétaires. Ce système fait porter au fabricant la responsabilité de définir un cadre.
En attendant que le secteur développe de nouvelles normes visant à réduire les risques, l’utilisateur doit se renseigner par lui-même : faire des recherches sur l’objet connecté à l’IdO avant son achat ou son installation. Une rapide recherche Google fera émerger en un rien de temps les principaux problèmes. S’il n’y en a pas, mais que l’entreprise a un passif de failles de sécurité, cela devrait se voir rapidement. Un bon exemple est une entreprise qui utilise des communications sûres et chiffrées comparée à une entreprise qui ne le fait pas.
Quoi qu’il en soit, l’utilisateur doit réfléchir à comment réduire les risques d’utilisation de son appareil. Une famille ne devrait-elle utiliser une caméra que dans certaines pièces de la maison ? Devrait-elle masquer l’objectif de la caméra lorsqu’elle n’est pas utilisée ? Le jouet devrait-il être éteint la plupart du temps ?
Enfin, de véritables changements côté fabricant sont peu probables avant que l’utilisateur ne développe une plus grande connaissance des appareils à la maison. La plupart des gens ne s’imaginent pas pouvoir être la cible de cyberattaques : le biais cognitif « pourquoi moi » endigue la pensée critique. Mais alors, qui veut payer pour savoir des choses sur vous ? « De très nombreuses personnes, rétorque Joshua Streiff. Les entreprises engloutissent des informations sur des individus sans même savoir quand ni comment elles vont les utiliser. »