Éditorial N°3 – Sea, hack and sun

  En cette période estivale, les conventions de sécurité informatique se multiplient, présentant les dernières découvertes en matière de piratage de solutions connectées.  Mots de passe par défaut, communications non-sécurisées, utilisation de secret par défaut, autant de vulnérabilités offrant aux attaquants la possibilité de manipuler un objet et d’accéder aux données stockées.

À la DEF CON 2018, Damien Cauquil, expert sécurité chez digital.security a présenté comment le brouillage d’une partie précise du protocole Bluetooth Low Energy permettait de se lier à un appareil déjà associé à un smartphone. Un attaquant peut ainsi empêcher l’accès à un objet ou interagir directement avec lui. « Depuis des années, on peut analyser et intercepter des communications. Par contre, la prise de contrôle était considérée comme peu faisable » explique Damien Cauquil.

Malgré le fait que les experts en sécurité aient tiré la sonnette d’alarme depuis maintenant plusieurs années, les mises à jour de sécurité tardent à être appliquées. Parfois, même lorsque les correctifs constructeurs ont été appliqués, ils peuvent être contournés par les criminels. Le piratage d’une Tesla modèle X en 2017 en est un parfait exemple. Le constructeur qui avait été victime d’une cyberattaque a subi une nouvelle déconvenue. Les chercheurs ont pu accéder une fois encore au bus de données CAN (Controller Area Network) qui assure l’interconnexion des équipements et au système embarqué les pilotant, démontrant « obsolescence » des correctifs de sécurité.

Avec l’extension d’Internet au monde physique, des objets du quotidien, même anodins, peuvent servir à des fins malveillantes. En mai 2018, la patronne d’une société de sécurité informatique avait fait part d’un cas symptomatique du très faible degré de protection qu’offrent certains produits, alors même qu’ils peuvent être branchés à un réseau dans lequel des données sensibles circulent : un casino s’est fait pirater une base de données  à cause… d’un thermomètre connecté qui était placé dans l’aquarium du hall d’entrée.

Si ces vulnérabilités permettent aux criminels d’avoir la main mise sur les données stockées sur les objets connectés, la prise de contrôle de certaines solutions représente un  danger immédiat pour l’homme. Lors de la Black Hat 2017 à Las Vegas, des chercheurs en sécurité informatique avaient présenté comment ils avaient pu prendre le contrôle d’une station de lavage 100% automatisée. Avec l’autorisation du propriétaire, ils ont réussi à accéder au système, fermer les portes intérieures de la station et y ont coincé un véhicule. Les chercheurs affirment qu’ils auraient pu, s’ils l’avaient voulu, diriger un puissant jet d’eau sur la portière passager pour empêcher le conducteur de sortir de son véhicule, voir le blesser gravement.

Face à cette hausse de cyberattaques, les acteurs régaliens n’ont pas manqué de réagir. En réponse aux inquiétudes suscitées par la vulnérabilité des objets connectés (IoT), le Sénat américain a adopté au mois d’août 2017 la loi sur l’amélioration de la cybersécurité de l’Internet des Objets (Internet of Things Cybersecurity Improvement Act). Cette législation doit permettre de définir les normes de sécurité applicables aux équipements installés sur les réseaux de l’administration américaine. En France, le Règlement général sur la protection des données est une étape importante dans le renforcement de la sécurité des objets connectés, en particulier celles des données personnelles.

Comme l’avait annoncé Bruce Schneier à l’occasion de l’évènement Infosecurity Eruope 2017, début juin à Londres, « la réglementation arrive, avec force ». Une évolution réglementaire, qui nous l’espérons, permettra une réelle prise de conscience de l’ensemble des parties prenantes dans la sécurisation de leurs solutions.