Lors de la conférence Flight 2017 de Boston organisée par Black Duck , une entreprise spécialisée dans la sécurité, deux experts en cybersécurité ont évoqué l'impossibilité de protéger l'ensemble des objets connectés. Il faut maintenant identifier les priorités.
L'Internet des Objets est réputé pour être un vrai gruyère en termes de cybersécurité. Ce niveau de criticité demande aux clients de ces entreprises à prendre des mesures de sécurité supplémentaires pour protéger leurs infrastructures. Si le besoin de sécurité des entreprises et des individus augmente, faut-il à tout prix renforcer les cyber défenses de tous les objets connectés ?
La sécurité IoT est difficile à mettre en place et coûteuse
C'est à cette question que les deux experts en cybersécurité Charlie Miller, célèbre pour avoir détecter des failles dans les produits Apple, et Chris Valasek, chercheur en cybersécurité pour Cruise Automation, une startup travaillant sur la conduite autonome ont tenu à répondre lors d'une conférence se tenant à Boston entre le 7 et 9 novembre.
La réponse est claire : il est impossible de protéger parfaitement tous les objets du quotidien qui seront connectés ou qui le sont déjà. Il faut donc se faire une raison. Selon les propos relevés par le blog Threat Post, cela serait bien trop coûteux. Chris Valasek déclare : “Une brosse à dent connectée sécurisée avec une plateforme sécurisée couterait un million de dollars à concevoir et un million de plus à maintenir.” La répercussion de coût de la sécurité augmente derechef le prix de vente du produit qui s'ajouterait à la longue liste de flops commerciaux de l'Internet des Objets.
Se concentrer sur l'essentiel disent les experts en cybersécurité
Il faut donc selon les deux experts en cybersécurité, se concentrer sur la sécurisation des produits dont les dysfonctionnements pourraient avoir des impacts sur la sécurité physique des individus. Ces objets connectés ne sont pas anodins : voitures autonomes et connectées, dispositifs médicaux, engins de chantier, etc.
Seulement, relativiser la sécurisation de l'IoT revient à donner un blanc-seing aux concepteurs d'objets connectés pour ne pas prendre les mesures adéquates afin de sécuriser ces dispositifs. Les différentes attaques DDoS ont prouvé la toxicité du manque de prise de mesure par les fabricants d'objets connectés, notamment les concepteurs de caméras IP dont les produits sont les plus répandus.
Les experts en cybersécurité présents lors de cette conférence en sont conscients, car identifier qu'une caméra connectée en IP peut devenir un élément d'un réseau zombie de matériels IT n'est pas forcément évident à première vue. À défaut de tout sécuriser, il faut pouvoir identifier quels usages détournés des éléments connectés à Internet sont à envisager. Cette phase d'audit est essentielle afin de contenir au mieux des attaques qui sont de toute manière impossibles à éviter selon les experts en cybersécurité.
Se concentrer sur l'essentiel, voilà le conseil fourni par Charlie Miller et Chris Valasek qui voit en la voiture autonome le prochain défi des experts en cybersécurité.
Toute une industrie à responsabiliser
Selon eux, il vaut mieux travailler à la sécurisation des réseaux, des plateformes Web, des Hub IoT, des serveurs qui hébergent des données sensibles et personnelles. “Ce n'est pas le grille-pain d'Equifax qui a été la cause de la fuite des données de 145 millions de personnes” a déclaré Chris Velasek.
Pourtant, les deux experts en cybersécurité semblent oublier le manque total de protection de certains produits industriels sur le marché. Les fabricants eux aussi doivent assurer un niveau décent de sécurité et fournir des solutions avec des paramètres modifiables : adresses des objets et mot de passe en priorité. À l'aube de l'application du règlement européen sur la protection des données (RGPD), il est temps que tous les acteurs prennent leur responsabilité.
- Partager l'article :