Un Internet des objets bien peu sûr
Plusieurs études viennent d'alerter sur les risques de sécurité bien réels qui touchent l'Internet des objets. Et les opportunités financières qui en découlent.
HP dresse un état des lieux peu brillant de la sécurité des objets connectés gérant… la sécurité domestique. Mais il n’est pas vraiment surprenant. Dans l’édition 2015 de son étude sur le sujet, le groupe indique qu’il continue d’observer « des défaillances significatives dans les domaines de l’authentification et de l’autorisation, aux côté d’interfaces Cloud et mobiles vulnérables », tout en soulignant y voir là « un domaine d’inquiétude tout particulier parce que la principale fonction de ces systèmes est la sécurité ».
De fait, selon HP, « 100 % des systèmes de sécurité domestique ne requièrent pas de mot de passe robuste » ; « des implémentations SSL/TLS sont vulnérables à Poodle ou permettent l’utilisation de SSLv2 ». Et, « la plupart des systèmes souffrent de l’absence de capacité de blocage des comptes utilisateurs après un certain nombre de tentatives ratées ».
Seul un système étudié par HP supporte l’authentification à plusieurs facteurs. Mais, encore sans trop de surprise, le problème s’étend au-delà des systèmes de sécurité domestiques connectés.
L’automobile en ligne de mire
Et cela commence par le secteur de l’automobile. Récemment, BMW a corrigé une faille permettant de s’introduire sans effraction dans ses voitures connectées. Mais le sénateur du Massachusetts Ed Markey s’inquiète. Après avoir interrogé, en 2014, les constructeurs automobiles sur la vulnérabilité de leurs véhicules aux pirates, il estime que les voitures « ont pleinement adopté des technologies sans fil telles que Bluetooth et même l’accès à Internet sans fil », mais que les constructeurs « n’ont pas adressé les possibilités réelles d’infiltration de pirates dans les systèmes embarqués ».
Pour lui, « les conducteurs font confiance à ces nouvelles technologies, mais malheureusement, les constructeurs automobiles n’ont pas fait leur part pour nous protéger des attaques informatiques ou des violations de vie privée ».
Et le sénateur de déplorer en particulier que « les mesures de sécurité pour prévenir l’accès distant à l’électronique des véhicules sont inconsistantes », et que « seuls deux constructeurs ont été capables de décrire leurs capacités de diagnostic et de réponse à une infiltration en temps réel ».
Une belle opportunité
Pour VDC Research, le problème est vaste : « les systèmes connectés de l’Internet des objets sont potentiellement ouverts à bien plus de vecteurs d’attaque que les systèmes d’information des entreprises, ce qui est exacerbé par les milliards d’appareils concernés ». Et malgré cette situation, la sécurité semble plus miser là sur la mise en place de systèmes réactifs que sur le recours au renseignement de sécurité proactif.
En outre, les « solutions de sécurité spécifiques aux systèmes d’Internet des objets sont rares aujourd’hui et de nombreux clients doivent choisir parmi des solutions adaptées de systèmes de sécurité traditionnels et/ou de gestion de la mobilité d’entreprise ».
Toujours sans surprise, la sécurisation des systèmes connectés dits de l’Internet des objets représente, selon Beecham Research, une belle opportunité de chiffre d’affaires pour les prestataires de services : « avec ce rythme de changement, les entreprises vont s’appuyer de plus en plus sur l’externalisation et nous anticipons des revenus, issus de l’authentification des appareils, de leur administration, de celle des données, de la facturation et de la sécurité, qui dépasseront les 3 Md$ d’ici à 2020. » Dans tout cela, la sécurité et les services de gestion des données devraient générer à eux seuls 1,8 Md$ de chiffre d’affaires à cet horizon.