Quand il s’agit de promouvoir l’Internet des objets (IoT), les concepteurs de nouvelles technologies n’ont pas peur des excès. Les titres de leurs articles parlent d’eux-mêmes : « Une puce et les objets stupides du quotidien deviennent intelligents ». Ou encore : « Si tout est connecté et si tout communique, nos vies vont devenir infiniment plus simples, plus efficaces et plus productives », etc.
Sauf, que l'Internet des objets commence à montrer ses faiblesses. Et pas seulement parce qu’il ajoute de la connectivité là où l’on n’en a vraiment pas besoin. Mais parce qu’il crée des failles de sécurité comme jamais auparavant, et qu’il expose les utilisateurs et les entreprises. « Mieux vaut avoir un objet non connecté et sécurisé qu’un objet connecté et non sécurisé », explique plein de bon sens Rob Enderle, analyste pour l’Enderle Group et collaborateur régulier de CIO.com. « La sécurité doit prévaloir sur la connectivité, et non l'inverse », rappelle-t-il.
Attention à l’hameçonnage
C’est l’aspect « sécurisé et digne de confiance » qui a fait trébucher les entreprises qui se sont précipitées sur le créneau. Elles voulaient être les premières à mettre un nouveau produit sur le marché, mais n’ont pas demandé à leurs concepteurs de réfléchir aux conséquences. Chez Chrysler, ce manque de précaution a été pour le moins coûteux. Au mois de juillet dernier, deux chercheurs en sécurité ont réussi à s’introduire à distance dans le logiciel embarqué d’une Jeep Cherokee et à prendre le contrôle du véhicule. Pour corriger la faille, le constructeur a du rappeler 1,4 million de voitures.
« Cet exemple montre bien que la sécurité n’est pas la première préoccupation », a déclaré Rob Enderle. « Cela ne signifie pas que les voitures ne peuvent pas utiliser ce genre de technologie », a-t-il ajouté, mais il faut penser aux conséquences, autrement dit au piratage possible de ces systèmes ». Comme le précise Rob Enderle, « si un système de divertissement est piraté, au pire, l’utilisateur ne pourra plus écouter sa musique. Mais le système de contrôle d'un véhicule doit être mieux sécurisé, car s’il est piraté, le conducteur et ses passagers sont en danger ».
Ce principe de sécurité s’applique aussi à l’usage des données personnelles par les objets connectés. Rob Enderle met par exemple en cause un produit utilisé par un grand nombre de nouveaux parents : des caméras pour surveiller que bébé dort. « Tout objet connecté à Internet, s’il n’est pas sécurisé, peut permettre à un pirate de voir si vous êtes ou non à la maison. C’est la même chose avec les systèmes de sécurité d’une entreprise. Personne ne veut que les images du système de surveillance interne se retrouvent sur le Web ».
Des objets connectés parfois inutiles
+rehabstudio, une entreprise de technologie créative qui a travaillé avec Google, Starbucks, Facebook et Twitter, a consacré un site à l’Internet des objets inutiles pour montrer avec ironie à quel point ces nouveaux objets dépassent parfois le ridicule. Le projet est né il y a quelques années, après la visite du salon Consumer Electronics Show. « Chaque fabricant proposait un produit IoT qui n'avait aucune raison d’être exposé ici », a déclaré Tim Rogers, fondateur et chargé de la création chez +rehabstudio. « La plupart de ces objets étaient tout à fait absurdes ». Ce n’est pas pour rien que l’entreprise a ajouté en sous-titre de son projet de site : « Connecté ne veut pas dire utile ».
En tête du palmarès des objets les plus absurdes affichés sur le site, on trouve le marque-page connecté. « Chaque fois que vous le mettez dans un livre, il mémorise le numéro de page dans le cloud. Et quand le lecteur veut reprendre sa lecture, il peut demander à recevoir un SMS pour lui rappeler à quelle page du livre il en était », ajoute-t-il. « C’est amusant et inutile ». Comme le déclare Tim Rogers, le site de +rehabstudio a été créé pendant une des semaines que l’entreprise consacre au piratage, mais aussi pour expliquer ce qu’est un produit utile. Selon +rehabstudio, un produit utile doit répondre à plusieurs principes : il doit être intelligent et adaptable, destiné aux humains, sécurisé et digne de confiance, permettre d’inventer ou d'améliorer un usage, apte et approprié.
La nécessaire implication des DSI
Bien sûr, tous les produits de l'internet des objets ne sont pas inutiles, et la sécurité des communications est de plus en plus importante pour les DSI dans la mesure où de plus en plus de systèmes deviennent compatibles Internet, et pas seulement les caméras de sécurité. Si vous avez déjà regardé un épisode de la série Arrow, vous savez que de jolies blondes diplômées en informatique du MIT n’ont qu’une idée en tête : entrer dans votre système et éteindre les lumières pour faciliter le travail d’un justicier à capuche. « Certes, en soi, ça paraît plus anodin. Mais, c’est quand même dangereux de connecter, ne serait-ce que l’éclairage de son entreprise ou de son domicile, à Internet sans que cette connexion ne soit sécurisée », dit aussi Brian Chemel, co-fondateur et CTO de Lumens Digital. C’est la raison pour laquelle la sécurité des objets IoT dans un environnement d'entreprise est tout aussi cruciale que la sécurité de la caméra qui surveille le bébé qui dort ou celle d’une voiture.
« Dans un bâtiment, l’éclairage est un élément assez important », dit-il. Et il ne parle pas seulement des éclairages de secours, mais aussi des espaces de production. Si un réseau n’est pas en sécurité, « un acteur mal intentionné peut pirater et éteindre toutes les lumières », dit-il. « Ça peut mettre la vie des employés en danger ». Selon lui, cela signifie aussi que, avant d’installer des systèmes connectés à Internet, il faut impliquer les DSI. « Ce type de connexion n’est pas toujours facile à mettre en place », estime encore Brian Chemel, ne serait-ce que parce que c’est tout nouveau.
« Dans les établissements où l’on envisage de déployer des dispositifs connectés, il faut impliquer l’IT, ce qui n’était pas toujours le cas jusque-là », a-t-il plaidé. « Ils n’ont pas eu jusqu’ici à se poser la question de la sécurité. Ils n’ont pas eu à réfléchir à la bande passante utilisée par des fournisseurs tiers ». Selon lui, il est tout à fait possible et souhaitable d’établir une passerelle entre les systèmes connectés et l’IT. « C’est ce que je fais en permanence pour mes clients, et c’est un aspect important de la question ».