Actualité web & High tech sur Usine Digitale

"Les objets connectés ont un défaut majeur : leurs mises à jour ne sont pas signées"

|
Twitter Facebook Linkedin Google + Email
×

Entretien Si beaucoup parlent de la sécurité de l'Internet des Objets, bien peu la mettent en application. A l'occasion du Mobile World Congress 2016, L'Usine Digitale a recueilli l'analyse de Sinan Eren, le vice-président et directeur général de la division Entreprises chez Avast.

Les objets connectés ont un défaut majeur : leurs mises à jour ne sont pas signées
Sinan Eren, le vice-président et directeur général de la division Entreprises chez Avast

L'Usine Digitale - Quelle est la situation de l'Internet des Objets en matière de sécurité aujourd'hui ?

Sinan Eren - L'Internet des Objets est un marché relativement nouveau mais que je suis de près. L'un des phénomènes que j'ai remarqué et qui m'inquiète beaucoup est le mécanisme de mise à jour de ces objets connectés. Ils utilisent pour la plupart des systèmes d'exploitation temps réel (RTOS) très léger, et partent du postulat qu'ils se situent sur des réseaux fermés. Mais quand vous visitez un patient à l'hôpital, il vous suffit de brancher un ordinateur portable sur un équipement quelconque et c'est bon, vous êtes sur le réseau.

 

Il suffit simplement d'obtenir un accès au réseau pour les compromettre ?

Je ne dis pas qu'ils sont nécessairement piratables, mais ils ont un défaut majeur : leurs mises à jour ne sont pas signées cryptographiquement. Ils ne vérifient pas si la mise à jour vient bien de la bonne personne. Et ce n'est pas un cas isolé, on retrouve le même phénomène sur les voitures par exemple. Et encore, l'automobile est un secteur concernant pour le public, mais pensez à tous les réseaux dont les propriétaires se disent qu'ils sont hors de danger car inaccessibles. C'est comme ça qu'on se retrouve avec des cas comme Stuxnet... Qu'il s'agisse de clés USB trouvées ou de prestataires extérieurs, il y a toujours des opportunités de s'infiltrer. Et si le système de mise à jour est mal conçu à la base, vous ne pouvez même pas garantir la sécurité la plus basique. De ce point de vue, l'Internet des Objets a énormément de retard.

 

Comment faire pour résoudre ce problème ?

Vous savez, je pense que le moyen le plus sûr pour que n'importe quel problème de sécurité soit réparé, c'est qu'il menace les revenus. Si les acteurs concernés pensent que la sécurité est un composant clé de leur chiffre d'affaires, ils s'assureront qu'elle est efficace. J'ai par exemple une très grande confiance en les produits d'Apple car l'entreprise ne veut pas partager les 30% de marge qu'elle touche sur les applications et les achats dans les applications. Elle a pour cela mis en place un procédé de signature de code au sein de l'OS et des apps qui empêche de falsifier un programme. Le résultat est une plus grande sécurité, motivée par la protection des revenus.

 

Cela mis à part, je pense que la réponse viendra aussi partiellement de régulations, de la mise en place d'une amnistie pour les chercheurs en sécurité qui révèlent des défaillances (ils sont aujourd'hui passibles de poursuites s'ils publient leurs travaux), et enfin de pénalités sérieuses en cas de défaut de sécurité, par exemple si des appareils médicaux mettent la vie de patients en danger.

 

La situation est-elle meilleure du côté des smartphones ?

Pas vraiment. Nous mettons en scène une démo au Mobile World Congress 2016 qui montre à quel point les applications liées à la santé, qui sont pourtant des points sensibles, sont mal protégées. Là aussi, les entreprises prennent des raccourcis. Comme les smartphones sont des plates-formes plus fermées que les PC, plus contrôlées, les développeurs n'implémentent pas de sécurité de leur côté. Par exemple, la majorité des données ne sont pas chiffrées, elles sont stockées en clair. Donc si le smartphone est jailbreaké ou rooté, il n'y a aucune protection.

 

Nous avons créé une petite application dans le cadre de notre démonstration qui permet de lire directement ces données médicales depuis un appareil. Je ne peux pas vous donner de noms, mais par exemple l'une des plus grandes chaînes médicales de la côte ouest des Etats-Unis est vulnérable. Son app a plus d'un million de téléchargements sur l'app store. Pour que les choses changent, il faudra des scandales, comme on en voit dans le monde financier. Il va se produire la même chose dans la santé.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale