Fin septembre 2016, un déluge de connexions s’abat sur OVH, géant européen de l’hébergement Internet. Il provient d’un réseau d’au moins 145 000 objets connectés, tous pilotés à l’insu de leur propriétaire, perturbant complètement le fonctionnement des serveurs d’OVH, qui sont saturés.

A peine un mois plus tard, une partie du Web américain est secouée par une attaque similaire. L’entreprise Dyn, qui fournit une partie de l’architecture de base du réseau, a été prise pour cible par une horde de caméras connectées zombies : celles-ci ont multiplié les connexions jusqu’à saturer ses services. Plusieurs sites majeurs ont été rendus indisponibles par cette attaque, dite « en déni de service ».

Le problème de la sécurité des objets connectés, dont le fonctionnement peut être altéré par un piratage ou dont les données peuvent être interceptées, est bien connu. Mais les attaques contre OVH et Dyn, caractérisées par le recours à des objets connectés rassemblés en un réseau contrôlé à distance par un attaquant, ont mis sur le devant de la scène un troisième risque. Celui du détournement d’objets connectés en vastes réseaux zombies capables de lancer de très puissantes attaques. Cette problématique était l’un des thèmes abordés lors du 9e Forum international sur la cybercriminalité, qui s’est achevé à Lille mercredi 25 janvier.

Deux évolutions expliquent ce regain d’inquiétude. D’abord, la multiplication du nombre d’objets connectés à Internet : ce ne sont plus seulement les ordinateurs et les téléphones qui sont pourvus d’une connexion au réseau, mais aussi les caméras de surveillance, certaines machines industrielles et même des réfrigérateurs, et ce 24 heures sur 24.

Des fabricants aux profils très divers

Ensuite, les manquements fréquents des constructeurs de ces objets aux exigences basiques de sécurité : nombre d’entre eux ne disposent que de trop maigres protections.

Dans un article publié après l’attaque, OVH notait ainsi la fréquence de « failles de sécurité relevant de défauts dans leur conception logicielle, de la négligence des constructeurs, qui souvent attribuent le même mot de passe par défaut à tous leurs produits, ou de la négligence des installateurs, qui ne prennent pas la peine de le modifier lorsqu’ils les déploient ».

Les fabricants d’objets connectés ont des profils très divers. La question de la sécurité est plus ou moins prioritaire selon les secteurs : essentielle pour un constructeur de voiture autonome et connectée, elle passe au second plan pour un producteur de petites caméras à quelques euros la pièce.

Le secteur compte par ailleurs de nombreuses start-up dont le budget consacré à la sécurité est très limité par rapport à celui dont disposent des industries plus matures. « Bon nombre d’objets connectés doivent sortir sur le marché très rapidement, ce qui laisse moins de place à la sécurité », renchérit enfin Christophe Moret, vice-président cybersécurité d’Atos.

Comment mieux sécuriser les objets connectés ? OVH, dans son billet de septembre 2016, avance quelques pistes techniques pour pallier le problème : « Résister aux [attaques] visant nos clients, c’est notre job ! [Mais] que pouvons-nous, par exemple, si les constructeurs d’équipements connectés ne corrigent pas les failles de leurs [logiciels], si les revendeurs n’osent pas prévenir leurs clients que leur matériel est infecté ? »

Situation pressante

Yves Rochereau, directeur pour la France de l’entreprise Check Point, abonde : « Une solution serait de faire de la sécurité dès la conception de l’objet », ou de pouvoir modifier automatiquement et à distance les logiciels qui équipent les produits pour combler les failles.

Mais la plupart des experts considèrent qu’il faut dans un premier temps parer les effets des attaques causées par des objets connectés piratés plutôt que de s’attaquer aux causes. « S’il y a des comportements anormaux, c’est aux entreprises de s’équiper. En l’état, on n’est pas capable de sécuriser tous les objets connectés », dit Coralie Héritier, dirigeante de IDnomic.

La puissance publique peut-elle jouer un rôle ? « Une norme sur une qualité minimale de sécurité est inévitable : actuellement il n’y en a aucune sur ce qu’on peut connecter à Internet. Les Etats doivent être plus proactifs. Une norme française pour les objets connectés serait un début, même si évidemment la France ne peut rien faire seule », estime Christophe Moret.

En novembre 2016, le département américain de la sécurité intérieure s’est emparé du sujet et a proposé des « principes stratégiques » destinés à sécuriser les objets connectés, faisant largement écho aux suggestions des professionnels du secteur.

Ces derniers estiment que la situation est pressante, car les objets connectés s’immiscent de plus en plus dans les entreprises, les foyers et les administrations. C’est moins la menace des objets zombies que celle d’une attaque faisant dysfonctionner ces objets qui est redoutée. « Il y a de plus en plus d’objets connectés qui ont des impacts en matière de sécurité dans des secteurs vitaux, par exemple dans les transports », avertit ainsi Coralie Héritier.

Menace contre des infrastructures critiques

La menace d’une attaque contre des systèmes industriels ou des infrastructures critiques est régulièrement brandie, notamment par les pouvoirs publics. La sécurité informatique des entreprises, administrations et infrastructures françaises les plus sensibles est soumise à un cadre légal précis, issu de la loi de programmation militaire de 2013.

L’avenir n’est pas nécessairement sombre. Pour M. Moret, « des normes commencent à émerger : des protocoles où la sécurité a été prise en compte se mettent en place ».

Lors de son audition, le 10 janvier, devant la commission des affaires économiques de l’Assemblée nationale, la députée Laure de La Raudière (Les Républicains, Eure-et-Loir), coauteure d’un rapport sur les objets connectés, se voulait « confiante » : « Nous n’en sommes qu’à la première phase de développement des objets connectés et le problème est bien identifié ; il sera traité, même s’il ne l’est pas encore. »