Bien des questions de sécurité restent en suspens. Un silence d’autant plus assourdissant que l’IoT devient omniprésent. G-Data fait le point.

Comment est sécurisée la connexion sur laquelle les données sont envoyées ? Comment le cloud sur lequel mes données sont stockées est-il sécurisé ? Le prestataire de service peut-il revendre mes données à un tiers ? Quelle est la fiabilité du système d’authentification qui permet à l’utilisateur de se connecter aux données ? Beaucoup de questions, mais jusqu’ici des réponses plutôt évasives, constate G-Data.

Or, les inquiétudes sont justifiées. Car les menaces nées par l’IoT peuvent être grandes. Ainsi, le rappel de 1,4 million de Jeep Fiat Chrysler après avoir constaté le détournement du système de divertissement. Autre exemple qui a marqué les esprits : la possibilité d’installer via Bluetooth un morceau de code sur le bracelet de suivi d’activité Fitbit.

Certains secteurs industriels commencent à prendre la mesure de la situation. L’industrie automobile, en particulier, fait de plus en plus appel aux pentests (tests de pénétration) pour vérifier la résistance de leur technologie face au piratage. C’est un bon début. Mais sans contrainte -ces tests sont en effet à l’initiative des fabricants- l’action reste limitée.

Il est temps que des normes respectées par tous les fabricants de technologie intelligente soient élaborées. Il est temps, aussi, qu’un organisme indépendant, qui réalise des audits, puisse interdire la vente de produits dangereux, pense-t-on chez G-Data.

Un projet va dans ce sens : «The Internet of Trust Framework», porté par l’Online Trust Alliance, une instance de coopération d’entreprises de sécurité informatique et technologique. Ce cadre a pour vocation de fournir des directives aux fabricants et aux développeurs afin de réduire l’ampleur des vecteurs d’attaques et le nombre de vulnérabilités. L’organisation promeut également une gestion responsable de la vie privée et des données et sensibilise les fabricants et les développeurs à la sécurité. Le projet, qui doit être le modèle qui mène à une déontologie contraignante, évolue sous le nom de «Privacy & Security by Design».

Les applications liées à l’IoT représentent un autre élément pour lequel la sécurité doit être prioritaire. Celles-ci permettent à l’utilisateur d’accéder facilement à ses données personnelles. Mais obtenir ces données est également facile pour les cybercriminels, la sécurité de l’application étant souvent délaissée. L’authentification n’est parfois nécessaire qu’une seule fois, si tant est qu’elle fonctionne avec un mot de passe. Et peu d’utilisateurs sont exigeants sur la qualité du mot de passe. Ces types d’applications, contenant beaucoup de données personnelles, doivent être développées de façon plus sûre. La découverte du cheval de Troie Vicepass prouve que ces informations sont intéressantes pour les cybercriminels : ce Trojan recherche tous les mots de passe des appareils connectés au sein d’un réseau.

D’une manière générale, résume G-Data, les utilisateurs doivent être attentifs aux questions de sécurité autour de l’IoT. Ils doivent sécuriser leurs appareils intelligents avec des mots de passe forts et éteindre ces appareils autant que possible quand ils ne sont pas en cours d’utilisation. Il est également important que les utilisateurs n’acceptent pas aveuglément les conditions d’utilisation. Le passage sur le stockage et le traitement des données collectées doit être étudié minutieusement. L’issue de cette réflexion doit conduire à l’ultime question : ces conditions sont-elles réellement acceptables ?

Sommaire
L'IoT attire et inquiète, sécurité en suspens
Titre
L'IoT attire et inquiète, sécurité en suspens
Description
Bien des questions de sécurité restent en suspens. Un silence d'autant plus assourdissant que l'IoT devient omniprésent. G-Data fait le point.
Auteur
Editeur
Soluxions Magazine
Logo