La vérité est parfois douloureuse, mais dans certains cas, mieux vaut se rendre à l’évidence. C’est ce qu’a fait le Broadband Internet Technical Advisory Group (Bitag), qui, dans son dernier rapport, a décidé de regarder les choses en face au regard de l’Internet des Objets : non, les consommateurs ne vont pas mettre à jour le microcode de leurs appareils. « Il est plus raisonnable de supposer que la plupart des utilisateurs finaux ne prendront jamais les mesures nécessaires pour mettre à jour leurs logiciels », a ainsi déclaré le Bitag qui recommande, entre autres choses, aux fabricants de mettre en place des mécanismes de mises à jour automatiques et sécurisés.
Et ce n’est qu'une des réalités pointées par le rapport publié hier par le groupe. Le Bitag fait également remarquer que certains périphériques IoT grands publics sont livrés par défaut avec des noms d'utilisateur et des mots de passe très faibles comme « admin » et « admin». Selon le groupe, on ne peut clairement pas considérer que ces identifiants peuvent faire office de clef d’authentification ou de protection cryptée. Comme ce fut le cas récemment, on sait que ces appareils peuvent être facilement piratés par des logiciels malveillants et transformés en serveurs de robots pour mener des attaques massives.
Des attaques massives lancées depuis des objets connectés
Cette éventualité est devenue évidente quand, plus tôt cette année, des botnets contrôlés par le malware Mirai ont lancé des attaques DDoS d’une puissance jamais atteinte qui ont gravement perturbé l'Internet. Pour mener leur attaque, les auteurs ont piraté des milliers de caméras de sécurité et d'autres dispositifs vulnérables. Le BITAG n’a pas été vraiment surpris par cette attaque et son ampleur. Depuis plusieurs mois, le groupe avait mis en garde contre la vulnérabilité des appareils IoT, et depuis le mois de juin, il avait lancé les recherches contenues dans ce dernier rapport.
Le Broadband Internet Technical Advisory Group fait la promotion des bonnes pratiques dans la gestion du réseau à large bande. Il regroupe des ingénieurs et des experts, avec, parmi eux des représentants d’entreprises comme Cisco Systems, Google, AT&T et Comcast. On peut donc penser que ces recommandations seront prises en compte dans de futurs produits et services. Le groupe profère plusieurs conseils à l’attention des éditeurs de logiciels et des fabricants de matériels IoT. Le premier conseil essentiel que donne le Bitag est de reconnaître d’emblée que tous les produits comporteront forcément des bugs et des vulnérabilités. Pour cette raison, le groupe préconise des outils de mise à jour automatiques ne demandant pas l’intervention, ni même l’approbation, des utilisateurs.
Passer en iPv6
Le rapport comporte une liste des meilleures pratiques en matière de sécurité, notamment l'authentification de toutes les communications, le cryptage des données stockées sur l'appareil et une solution pour révoquer les certificats quand ils ont été compromis. « Par défaut, les périphériques IoT ne devraient pas être accessibles par des connexions réseau entrantes, y compris à partir de périphériques qui se trouvent dans la même maison, car ceux-là ont pu être compromis », déclare le Bitag qui rappelle qu’un pare-feu ne suffit pas pour bloquer les communications non sécurisées. Le rapport recommande également l’usage de la dernière version du protocole Internet IPv6 dans les appareils IoT. En effet, l’IPv6 permet des connexions bout-en-bout entre les périphériques sur Internet et comporte certaines fonctions de sécurité, contrairement à l'ancienne version IPv4. Selon d'autres experts, le recours à l’IPv6 sera nécessaire pour attribuer des adresses IP uniques aux milliards de dispositifs IoT à venir. Cependant, la mise en œuvre du nouveau protocole dans les réseaux est parfois complexe, et le processus n'est pas sans danger.
D’autres recommandations du Bitag ne concernent pas directement des questions de sécurité, mais abordent les problèmes que rencontrent certains consommateurs avec l’IoT domestique. Par exemple, le rapport demande aux fabricants de proposer des périphériques capables de fonctionner hors ligne, car des erreurs ou certains types d'attaques peuvent déconnecter le dispositif domestique de l'Internet. Selon le groupe, les appareils devraient également être capables de fonctionner quand le service cloud associé est indisponible. En outre, le groupe demande aux fabricants de préciser aux consommateurs le temps pendant lequel ils fourniront un support pour leurs produits et de les prévenir quand ils prévoient de désactiver certaines fonctions. La désactivation des hubs intelligents Revolv par Nest plus tôt cette année a mis certains consommateurs très en colère : ils avaient payé environ 300 dollars HT pour acheter ces appareils avant l’acquisition de Revolv par Nest en 2014.
Un label à venir
Y aura-t-il bientôt un moyen de savoir rapidement si un périphérique IoT domestique est sécurisé ? C’est possible. Le Bitag suggère à l'industrie de créer un logo ou un label pour identifier les produits qui répondent à des pratiques exemplaires. Cela éviterait aussi de laisser les consommateurs se débrouiller avec les spécifications de chaque appareil. Mais le groupe ne propose pas de mettre en place lui-même ce label.