Éditorial N°9 – Saint-Valentin, vie privée et cybersécurité

       Ce mois de la Saint-Valentin nous a récemment prouvé que la sécurité des dispositifs IoT et plus généralement la cybersécurité était l’affaire de tous. A l’occasion de la dernière édition du Forum International de la Cybersécurité (22 et 23 janvier 2019), le directeur de l’ANSSI, Guillaume Poupard, s’est lui aussi attaché à rappeler le rôle de chacun dans la cybersécurité. Au service de la grande consommation, les objets connectés qui observent des failles by design et/ou d’implémentation exposent toutes les données sensibles aux pirates. L’absence de mises à jour ou la non actualisation de mots de passe par défaut peut notamment conduire à des vols de données confidentielles, compromettant l’intimité des utilisateurs.
A l’occasion de la Saint-Valentin, plusieurs experts en sécurité ont rappelé l’importance de sécuriser ses objets connectés les plus intimes.

     Les sextoys connectés ont notamment été visés et bien qu’ils soient à caractère romantique, les chercheurs ont alerté les utilisateurs quant aux failles de sécurité qu’ils contiennent et sur les risques de protection des données personnelles. La récente étude de Mozilla a notamment a passé en revue 70 produits grand public dont des vibromasseurs intelligents. L’étude a révélé que ces derniers recueillent, collectent et partagent des données personnelles sans que le consommateur en soit averti. Les utilisateurs ont donc été exposés à des failles pouvant conduire à l’usurpation d’identité ou à un vol de données confidentielles.

Les utilisateurs sont le plus souvent concernés par les défauts techniques des objets connectés. Ce mois de février a particulièrement recensé d’importantes failles sur les assistants domotiques connectés, allant jusqu’à bafouer l’intimité des consommateurs. Le vecteur humain qui est à l’origine d’importantes attaques, permet notamment aux attaquants d’infiltrer des espaces privés. Les objets connectés domotiques sont vulnérables, tant ils peuvent enregistrer des conversations privées. A l’instar de l’Amazon Echo, les alarmes de sécurité Nest Secure ont récemment fait l’objet de cyberattaque et via ces dernières, des attaquants ont pu s’infiltrer dans la maison d’une famille et l’insulter via le microphone.

     Si le FIC a été l’occasion de sensibiliser les experts et le grand public quant à l’utilisation des objets connectés et aux failles auxquels ils sont exposés, la sensibilisation doit également s’opérer plus en amont, dès la construction. En réponse, l’ETSI, un organisme européen de normalisation (ESO), a récemment publié la première norme applicable à l’échelle mondiale pour la sécurité de l’Internet des Objets. Cette norme relative à la cybersécurité de l’IoT qui met en place une base de sécurité pour les dispositifs IoT à destination des consommateurs et des industriels. Ainsi, cette norme s’est donné le défi de répondre aux défaillances de sécurité importantes et généralisées des dispositifs IoT et d’y apporter toute la conformité dont ils ont besoin (RGPD). Ciblant les industriels, le FIC a également rappelé le défi de la sécurisation de leurs systèmes. Souvent interconnectés avec les clients et les sous-traitants, ces systèmes représentent des portes d’entrée majeures pour les attaquants, qui visent aussi bien les entreprises que les particuliers. La sécurisation d’un système industriel ou d’un objet connecté doit donc se faire dès sa phase de conception.

Les objets connectés qui ne sont pas mis à jour ou qui comportent des défauts by design représentent un danger pour l’intimité des utilisateurs qui en ont une confiance absolue. Ce mois-ci, la sensibilisation sur la sécurité de ces dispositifs IoT était à l’honneur. Celle-ci est plus qu’indispensable pour conserver les données sensibles des consommateurs.