80 Milliards d'objets connectés d'ici à 2020 : Sécurité - Idées reçues - Risques
Publié le 28 Mars 2014
Les 10 idées reçues en matière de sécurité informatique par les particuliers,
Par Adrien Wiatrowski, consultant sécurité pour Lexsi
D’ici 2020, on estime le nombre d’objets connectés à 80 milliards [1] ; mais qu’est-ce qu’un appareil connecté ?
Tout objet peut être « connecté ». Pour cela, il doit disposer d’un système d’exploitation interne pour analyser les informations, ou commander des actions et d’un système de connexion ou de radio transmission qui lui permet de communiquer avec un smartphone, une tablette ou un ordinateur… Il peut alors envoyer et recevoir des informations par le biais d’une liaison sans fil. [2] Du téléphone pour prendre sa tension, à la voiture conduisant sans intervention humaine, en passant par le réfrigérateur qui commande les produits alimentaires manquants… Bienvenue dans l’ère des appareils connectés.
1. Mon antivirus protège tout mon réseau
FAUX - En fonction des versions et caractéristiques de votre antivirus, celui-ci analysera vos lecteurs locaux, clés USB, mails dans certains cas, mais se limitera uniquement à votre PC, si toutefois l’antivirus est à jour et que le virus est connu par les éditeurs.
2. Mes données n’intéressent personne et de toute façon, je n’ai rien à cacher
FAUX - Toutes les données peuvent-être utilisables et exploitables. Pourquoi les cartes de fidélité se sont-elles développées de façon aussi importante ces dernières années ? Les données collectées sont ensuite utilisées soit par la société elle-même, soit revendues à d’autres afin de réaliser du marketing ciblé (en fonction de vos habitudes, de vos goûts, etc.). Vous n’avez donc plus aucun contrôle sur l’utilisation qui sera faite de celles-ci.
3. Si mon PC était piraté, je m’en rendrais compte
FAUX – Il ne faut pas confondre infection et piratage. A moins de disposer d’outils d’analyse poussés et des compétences associées, vous ne pouvez pas savoir si votre PC est piraté, contrairement aux infections virales qui peuvent être la plupart du temps visibles et détectées par votre antivirus.
4. Mon Fournisseur d’accès Internet (FAI) doit bien avoir fait le nécessaire pour sécuriser mon réseau
FAUX – Malgré une large communication sur la sécurité apportée à leurs clients, les FAI ne sécurisent absolument rien chez vous à l’exception d’un pare-feu dans votre box ADSL, ce dernier restant très permissif.
5. Un antivirus gratuit est suffisant pour protéger mon ordinateur
FAUX – La distribution d’antivirus gratuit par les éditeurs est très souvent une méthode commerciale, fournissant la fonction basique de l’antivirus (antivirus en temps réel). Les autres fonctions, indispensables pour la plupart afin d’assurer un niveau de sécurité plus avancé, sont donc payantes (pare-feu, protection des flux emails & web, filtrage URL…) et proposées par le biais de bandeaux publicitaires.
6. Protéger mon ordinateur me demande beaucoup de temps
FAUX – Protéger son PC ne demande pas plus de temps que de ne pas le protéger. Une fois une solution antivirus complète installée et à jour (et de même pour les mises à jours de vos logiciels favoris), il faut avant tout avoir un comportement « sécuritaire » : ne pas communiquer ses mots de passe, être attentif aux spams et au phishing (redirection vers un « faux » site web pour récupérer vos informations personnelles), vérifier les liens en « https » lors de paiement en ligne, etc.
7. Avoir un mot de passe pour chaque site, c’est beaucoup trop complexe, et ça n’apporte finalement pas grand-chose [3]
FAUX – Lors de l’inscription sur un site web, ou un forum, rien ne vous garantit que le site soit sûr, et ne risque pas d’être piraté, ni même que l’administrateur du site ait prévu de stocker celui-ci de manière chiffré (et donc illisible pour un éventuel hackeur). Il est donc pertinent de mettre un mot de passe que vous pouvez vous permettre de voir « dévoilé », et qui ne donne accès qu’au site en question. Par exemple, n’utilisez pas le même mot de passe pour les accès à votre compte de banque en ligne que pour votre compte Facebook. Ainsi, si un mot de passe est compromis, vous savez d’où vient la faille, vous pouvez donc changer les accès rapidement sans avoir à le modifier sur tous les sites où vous êtes inscrits. Si retenir différents mots de passe vous est particulièrement pénible, penchez-vous sur l’utilisation d’un coffre-fort de mot de passe, qui stocke pour vous vos mots de passe moyennant une authentification initiale.
8. En utilisant des services gratuits, je conserve la main sur mes données stockées
FAUX – Une fois vos données téléchargées sur internet (réseaux sociaux, vente en ligne, cloud), vous conservez certes une sauvegarde de ces documents mais vous pouvez également perdre tout contrôle sur les utilisations futures qui pourront en être faites. Pour le savoir, il est nécessaire de lire les conditions générales d’utilisation du service.
Prenons le cas de Facebook comme exemple : « Pour le contenu protégé par les droits de propriété intellectuelle, comme les photos ou vidéos (propriété intellectuelle), vous nous donnez spécifiquement la permission suivante,[…] vous nous accordez une licence non-exclusive, transférable, sous-licenciable, sans redevance et mondiale pour l’utilisation des contenus de propriété intellectuelle que vous publiez sur Facebook ou en relation avec Facebook (licence de propriété intellectuelle)». Il n’est aujourd’hui pas imaginable d’avoir un service gratuit sur internet sans contrepartie.
9. Pirater un ordinateur, oui, mais un objet connecté…
FAUX – Un objet connecté, comme défini plus haut dans l’article, est tout à fait vulnérable. Derrière cet objet qui peut paraitre simple, se cache ni plus ni moins qu’un « petit » ordinateur communiquant avec d’autres.
10. Il n’existe pas de virus et/ou de vulnérabilités sur Mac, Linux ou les téléphones portables [4]
FAUX – Beaucoup croient encore que ces systèmes ne présentent aucun risque pour les utilisateurs et qu’il n’y a des virus que sur Windows. En réalité, il existe des virus ciblant toutes ces plateformes. La différence réside dans le nombre de vulnérabilités disponibles inférieures à celles visant Windows. La raison en est très simple : la motivation des pirates, c’est l’argent, ils vont donc privilégier les plateformes qui attirent beaucoup de monde, mais cela n’empêche pas que les autres puissent être aussi prises pour cible.
Conclusion
Sans sécurité, vous perdrez une partie de votre liberté car toutes vos données seront exploitables (certes, avec un certain niveau de connaissances, Internet aidant beaucoup). Le roman de George Orwell intitulé 1984n’était finalement pas si loin de la réalité avec l’omniprésence d’écrans, jusque dans les domiciles, permettant à l’Etat de contrôler la population. Dans notre cadre, la « surveillance » se fait par le biais d’objets connectés et pour le compte d’une multitude d’organisations (légales ou non, à des fins malveillantes … ou non).
Les objets connectés représentent néanmoins, une véritable avancée technologique permettant de nous faciliter la vie au quotidien.
C’est dans cette optique qu’il est indispensable que les organisations prennent en compte la sécurité dès les premières phases de conception, et que la sécurité ne soit pas une option.
Références :
[1] http://www.franceinfo.fr/high-tech/nouveau-monde/nouveau-monde-03-01-objets-connectes-1268381-2014-01-03
[2] http://www.bouyguestelecom-pro.fr/lemag/equipement/les-objets-connectes-la-revolution-en-marche
[3] http://www.nbs-system.com/blog/choisir-un-bon-mot-de-passe.html
[4] http://www.generation-nt.com/securite-antivirus-idees-recues-panda-actualite-1118081.html