Objets connectés et sécurité : une équation sans solution ?
Le constat est généralement bien partagé : l’insécurité des objets connectés constitue une menace grandissante. Mais les avis divergent sur les remèdes. Et pour certains, il va falloir accepter que certains objets ne fassent l’objet d’aucun effort.
Selon Forescout, les objets connectés constituent une « véritable bombe à retardement pour les entreprises ». Sur la base d’une étude commandée à Forrester, le spécialiste du contrôle de l’accès au réseau (NAC, Network Access Control), assure ainsi que 82 % des entreprises « peinent à identifier l’ensemble des objets connectés à leur réseau ». Une surprise ? Qui oserait l’affirmer…
Mais plus des deux tiers des sondés prennent la menace au sérieux : ils affirment envisager de revoir leurs stratégies de sécurité informatique en raison de ces objets. La surprise est à chercher ailleurs : pour une fois, l’inquiétude semble plus grande côté métiers que côté IT. Selon l’étude de Forrester pour Forescout, 58 % des premiers sont anxieux, contre 51 % des seconds. Alors que les responsables métiers sont fréquemment mis à l’index pour leur tendance à adopter des technologies, et généralement Cloud, à l’insu de leurs DSI, ils seraient là plus conscients de « l’ampleur qu’une violation peut avoir sur le fonctionnement de l’entreprise ». Une analyse qui risque de laisser songeurs bon nombre de DSI et de RSSI. Le temps où Patrick Pailloux, alors patron de l’Anssi, encourageait les DSI à dire « non » au BYOD, à l’automne 2012, apparaît bien loin.
Une bataille perdue d’avance ?
Et justement, comme avec les outils personnels comme les smartphones et les tablettes, il semble y avoir là une bataille perdue d’avance. Et ce n’est pas celle de la sécurisation des terminaux : iOS et Android – si l’on met de côté le rôle des constructeurs et des opérateurs… – sont en fait porteurs de nombreuses leçons, y compris à l’égard de leurs prédécesseurs, les Linux, macOS, et Windows.
Pour autant, Charlie Miller et Chris Valasek, ne s’attendent pas à des miracles. Début novembre, à Boston, le premier, connu notamment pour ses découvertes de failles dans iOS, est revenu sur une réalité : « nous écrivons le code, et nous ne sommes pas parfaits. Le problème est qu’une grande sécurité coûte cher ».
Cette remarque renvoie à la question du coût du produit rapporté à l’investissement nécessaire pour en assurer la sécurité, à sa commercialisation, mais aussi dans la durée. Et Chris Valasek de prendre l’exemple d’une brosse à dents connectée. Axelle Apvrille, de Fortinet, a un peu plus tôt montré les vulnérabilités d’un tel produit. Mais pour Miller, la question n’est pas là : « ne soyez pas surpris si les brosses à dents connectées sont piratées. Concentrez-vous sur ce qui compte ». Et de penser notamment aux véhicules autonomes.
L’impératif réglementaire
Ironie du calendrier, l’agence européenne pour la sécurité des réseaux et de l’information (Enisa) vient de rendre publiques ses recommandations pour une sécurité « de base » des objets connectés, un minimum conseiller en somme. Celles-ci ont été établies à partir d’échanges avec de nombreux experts. Peut-être de quoi montrer que si l’Enisa ne dispose pas en interne de l’expertise requise, comme semblent le penser certains sénateurs français, elle sait la trouver. Mais peut-être les travaux de l’agence s’avèrent-ils trop complexes, parce que trop fouillés, pour être pleinement accessibles.
La note de synthèse de l’Enisa sur les objets connectés et leur sécurité ne tient en effet pas en deux ou trois généralités barbouillées sur une dizaine de pages. Le document ne fait pas l’impasse sur des éléments de contexte de haut niveau, mais il ne verse pas non plus dans la simplification à outrance. Des épisodes tels que Mirai ou BrickerBot ne sont pas omis, mais les auteurs ne versent pas dans le sensationnalisme. Mais c’est surtout l’analyse des scénarios d’attaque qui s’avère intéressante.
De là, l’Enisa déroule une série de mesures, techniques, organisationnelles, réglementaires. Sans oublier d’aligner les manques, bien connus des experts du secteur, à commencer par le manque de carotte économique et de gestion « correcte » du cycle de vie des produits.