Les objets connectés sont un phénomène en pleine croissance. On en compte 15 milliards aujourd’hui, et on estime leur nombre à 80 milliards pour 2020. Le contexte technologique actuel réunit toutes les conditions propices à leur développement : internet haut-débit, smartphones utilisables comme écrans de contrôle, et technologies Big Data pour exploiter les données collectées.

Comment fonctionnent ces objets ? Quels risques représentent-ils ? Et comment peut-on les sécuriser ? Ces questions sont incontournables pour rassurer des utilisateurs préoccupés par l’usage de leurs données personnelles.

Qu’est-ce qu’un objet connecté ?

C’est un objet auquel l’ajout d’une connexion permet d’apporter une valeur d’usage supplémentaire. Mais contrairement à un périphérique informatique ou à une interface d’accès au web (comme un smartphone), sa vocation première n’est pas d’accéder à internet. Par exemple, la vocation principale d’un réfrigérateur connecté est de conserver les aliments, mais l’ajout d’une connexion web vient étendre ses fonctionnalités.

Par définition, les objets connectés ont la capacité de transmettre des données. Ce sont la collecte, le traitement et la mise en forme de ces données (aliments disponibles dans un réfrigérateur, consommation électrique d’une maison, fréquence des battements cardiaque d’un individu…) qui constituent leur valeur ajoutée.

Internet des objets

Sur le plan technique, beaucoup d’objets connectés envoient des informations via internet sur des serveurs cloud. C’est la solution la plus simple pour faire transiter les données et les restituer ensuite via une interface ergonomique. Cependant, certains objets connectés collectant des données ultra-sensibles utilisent d’autres réseaux : par exemple des serrures fonctionnant avec Bluetooth et une ouverture via smartphone, sans aucun échange de données via le web.

Les principaux enjeux techniques des objets connectés sont la sécurité et les technologies de traitement des données.

Quels sont les risques ?

Sur la question des risques, les avis sont partagés. Certains préféreraient se passer des objets connectés, quand d’autres relativisent les risques en pointant le nombre de données sensibles qui transitent déjà sur le web (données de paiement bancaires, factures, résultats de santé, activités sociales, etc).

En réalité, les objets connectés ne font que démultiplier des risques déjà existants, mais ceci signifie que ces risques doivent être pris très au sérieux. Concrètement, il existe plusieurs types de risques.

Vol de données

Le marché noir des données volées représente un vaste pan de l’économie souterraine. Les données personnelles s’échangent, selon une valeur qui fluctue en fonction de l’offre et de la demande.
Connaître précisément vos consommations d’eau peut intéresser un cambrioleur, afin de savoir quand vous êtes absent de votre domicile… Connaître votre état de santé peut intéresser un employeur ou un assureur… Connaître vos coordonnées et vos habitudes digitales peut intéresser un marketeur… Les exemples sont presque infinis.

Corrélation des bases de données

Il s’agit d’un risque important. En entrant via une interface mal sécurisée, il est possible d’accéder à d’autres bases de données et à des informations plus sensibles qu’en apparence…

Usurpation d’identité

Accéder à vos traces numériques et à des informations intimes peut permettre d’usurper une identité. Ce phénomène est en expansion.

Prise de contrôle à distance

Imaginez que l’on puisse prendre le contrôle de l’ouverture de vos fenêtres, ou d’un appareil de santé, ou d’un objet qui interagit avec vos enfants… Ce risque ne concerne pas que des objets collectant des données personnelles.

Utilisation à des fins non prévues

Tout comme la logique d’un logiciel peut être détournée, il est possible de faire de même avec les objets connectés. Récemment, une attaque sur un réseau de réfrigérateurs connectés provoquant une interruption de services a démontré que les possibilités de nuire sont multipliées.

L’environnement de l’internet des objets étant « non sûr » par nature (car les objets peuvent être répandus partout et connectés sur des réseaux divers et variés) et la cybercriminalité étant en plein essor, on peut considérer que les probabilités d’attaques sur les objets connectés sont très fortes.

Quelles sont les solutions ?

Pour que l’internet des objets puisse développer son potentiel, il est nécessaire de renforcer la confiance des utilisateurs, avec des garanties de sécurité. Même si le risque zéro n’est jamais atteint, il est possible d’agir à différents niveaux : technique, juridique et pédagogique.

Sécuriser les services web

C’est bien entendu la 1ère solution à privilégier pour assurer la sécurité des objets connectés. L’encadrement légal c’est bien, mais il faut aussi s’assurer de la robustesse des applications qui gèrent les échanges de données entre les objets connectés et les serveurs.

D’un point de vue technique, on peut sécuriser les 3 piliers suivants :

  • l’acquisition des données
  • le transport des données
  • l’analyse de l’information

Plus les applications seront étanches face aux attaques des hackers, et plus les objets seront dignes de confiance. Après tout, il s’agit d’amélioration technique, comme dans chaque industrie naissante. Les premières voitures étaient nettement plus dangereuses que les modèles que nous conduisons aujourd’hui.

Ne pas tout stocker dans le cloud

Il s’agit peut être d’une évolution pour sécuriser les objets connectés : stocker les données sur des systèmes internes, comme pour les intranet, afin de limiter leur circulation. Pour le moment le cloud est privilégié pour des raisons d’accessibilité, mais les objets collectant des données sensibles pourraient nécessiter une approche différente.

Ne pas tout connecter à internet

Certains objets connectés n’interagissent que par bluetooth. Par ailleurs, ne pas connecter massivement tout type d’objet à internet est sans doute un principe de précaution à ne pas négliger. Ceci pourrait faire l’objet de règlementations. D’autant que pour certains objets, la valeur ajoutée est bien plus intéressante que pour d’autres.

Eduquer les utilisateurs

C’est un enjeu énorme car bien des objets peuvent être configurés avec des paramètres de sécurité plus ou moins avancés, et le niveau de sécurité maximal n’est pas nécessairement le mode de configuration par défaut.
Les objets connectés peuvent selon les cas être interrogés à distance ou envoyer par eux mêmes des informations. Il est important de bien définir qui a le droit d’accéder aux informations mises à disposition.

Il importe aussi de sécuriser l’accès aux objets eux-mêmes, pour restreindre leur usage aux personnes ayant l’autorisation et la capacité de s’en servir.