Attention aux objets connectés!

La croissance exponentielle de l'Internet des objets soulève de nombreux défis sécuritaires.

29 Mai 2017 à 10H25

Le professeur Ygal Bendavid, du Département de management et technologie, s'intéresse aux enjeux entourant l'Internet des objets.Photo: Nathalie St-Pierre

Les cyberattaques qui ont défrayé les manchettes à l'échelle planétaire à la mi-mai ont donné la frousse à de nombreux internautes. L'occasion était belle pour rappeler que les attaques se transforment au gré des évolutions technologiques. «Le nombre croissant d'objets connectés à Internet multiplie les portes d'entrée pour les hackers et cela soulève de plus en plus d'enjeux liés à la sécurité informatique», affirme Ygal Bendavid. Le professeur du Département de management et technologie de l'ESG UQAM donnait une conférence sur la question le 25 mai dernier, en compagnie du postdoctorant Samad Rostampour. L'événement était organisé par le Bureau de la sécurité et de la gouvernance des Services informatiques de l'UQAM.

Si  l'Internet des objets est devenu une réalité depuis le début des années 2010, on imaginait déjà le concept en 1990. «À l'époque, on prévoyait que la miniaturisation des ordinateurs permettrait un jour aux objets de communiquer avec leur environnement de manière autonome», raconte Ygal Bendavid en faisant circuler parmi les participants des exemples d'étiquettes  RFID (pour radio frequency identification), pas plus grandes qu'une étiquette autocollante et pourtant dotées d'une antenne et d'un circuit intégré miniature. «L'Internet des objets, poursuit-il, fait référence à tout objet – ou être vivant – qui peut se connecter à n'importe quel moment, n'importe où, avec n'importe quoi ou n'importe qui, en utilisant n'importe quel réseau de communication afin de transmettre des données sur lui ou sur son environnement immédiat.»

«Imaginez un tel objet qui se vend à des milliers, voire à des millions d'exemplaires. Cela représente une somme de données ahurissante et les risques de dérive sont bien réels.»

Ygal Bendavid

Professeur au Département de management et technologie de l'ESG UQAM

On compte aujourd'hui plusieurs objets connectés dans notre quotidien, parmi lesquels des téléviseurs, des bracelets, des téléphones intelligents, des montres, des thermostats, des caméras, des régulateurs cardiaques, des voitures, etc. Certains sont plus rigolos que d'autres, comme ce glaçon intelligent, qui détecte que votre verre est vide afin de passer une nouvelle commande au barman. D'autres donnent froid dans le dos, comme ces poupées connectées ou ces petits robots jouets qui enregistrent ou filment tout ce qui se passe dans votre maison… et transmettent les données à l'entreprise qui les fabrique! «Imaginez un tel objet qui se vend à des milliers, voire à des millions d'exemplaires. Cela représente une somme de données ahurissante et les risques de dérive sont bien réels», note Ygal Bendavid.

Les maisons, mais aussi les entreprises et les villes empruntent désormais la voie de la connectivité. Ygal Bendavid a participé récemment à l'événement RFID Journal Live 17, une conférence qui avait lieu à Phoenix, en Arizona. Il a pu voir tous les objets connectés qui font déjà ou feront bientôt le bonheur des entreprises, comme ces vêtements intelligents qui «conversent» en temps réel avec le proprio de la boutique, lui indiquant s'ils ont été touchés, essayés en cabine, replacés sur les étalages, etc. Et nous n'en sommes qu'aux balbutiements des applications possibles de l'Internet des objets !

La sécurité informatique

D'ici 2025, il y aura 80 milliards d'objets connectés à Internet dans le monde et le quart des cyberattaques impliquera l'un de ceux-ci. «Le problème est qu'il n'y a pas de standard dans les protocoles de sécurité, souligne Ygal Bendavid. Les hackers se servent des failles que représentent les objets connectés comme porte d'entrée pour accéder à votre réseau et le détourner à leur profit. Ils y accèdent par le maillon le plus faible comme un téléviseur, une caméra ou même une ampoule connectée.» Voilà pourquoi il faut mettre à jour les applications et s'informer des données qui sont partagées par celles-ci avec les entreprises, ajoute-t-il.

«Les hackers se servent des failles que représentent les objets connectés comme porte d'entrée pour accéder à votre réseau et le détourner à leur profit.»

Ygal Bendavid

Heureusement, quelques organisations à but non lucratif, comme l'Open Web Application Security Project (OWASP), s'intéressent à la sécurité informatique de l'Internet des objets. Elles répertorient les types d'attaques perpétrées, les objets les plus vulnérables, etc. «Tout cela est public et accessible sur le web», note le professeur. Le Commissariat à la protection de la vie privée du Canada vient d'ailleurs de faire paraître un rapport sur le sujet.

Démonstrations

Le postdoctorant Samad Rostampour a expliqué les différents degrés de sécurité des mots de passe. «Plus un mot de passe comporte un nombre élevé de chiffres et de symboles, plus il est difficile à découvrir par un ordinateur mal intentionné, mais plus la technologie qui le soutient coûte cher, explique-t-il. On en revient toujours au même point: combien sommes-nous prêts à investir au nom de la sécurité informatique? Il faut choisir l'équilibre qui nous convient entre les coûts et les risques.»

«On en revient toujours au même point: combien sommes-nous prêts à investir au nom de la sécurité informatique? Il faut choisir l'équilibre qui nous convient entre les coûts et les risques.»

Samad Rostampour

Stagiaire postdoctoral

Les deux chercheurs ont conclu la présentation en effectuant une démonstration simple, mais percutante. Ils ont testé une application de contrôle d'entrée, comme on pourrait en retrouver à l'entrée d'un local sécurisé. Chacun possédait un badge avec technologie RFID intégrée lui donnant accès au local fictif. Après avoir testé leur carte respective devant un lecteur portatif, Ygal Bendavid a retiré à son stagiaire sa carte d'accès, lui refilant une carte sans droit d'accès. Le postdoctorant a alors utilisé un lecteur portable, comme ceux qui sont utilisé dans les entreprises pour la gestion des inventaires, pour «sniffer» la carte de son professeur, c'est-à-dire pour en copier les données, directement téléchargées dans un logiciel. Avec ces informations, le postdoctorant a pu cloner la carte de son professeur, c'est-à-dire attribuer à sa propre carte (sans droit d'accès) les codes de son professeur. Voilà qui lui donnait accès de nouveau au local fictif. «Cela se nomme une attaque par clonage, mais on peut aussi faire une attaque par déni de service», explique Ygal Bendavid. Quelques clics plus tard, le postdoctorant avait réussi à trafiquer les codes de la carte de son professeur, cette dernière étant désormais invalide pour accéder au local fictif. «Les étiquettes RFID que nous avons utilisées ne sont pas sécuritaires, note toutefois le professeur. Celles qui sont sur les passeports, par exemple, sont très sécuritaires, mais elles ne coûtent pas 25 sous; elles coûtent 25 dollars. C'est toujours une question de prix!»

Ygal Bendavid a même poussé le jeu plus loin, en plaçant un capteur Bluetooth relié à son ordinateur. Celui-ci lui a permis de détecter en temps réel la présence à proximité des bracelets Fitbit et des téléphones intelligents des participants à la conférence. «Imaginez s'il y avait plusieurs capteurs dans la salle, dit-il. Nous pourrions "sniffer" plusieurs données dans vos appareils et nous en servir. Or, cette démonstration n'est que la pointe de la pointe de l'iceberg en matière de piratage informatique. Le message clé: méfiez-vous!»

PARTAGER
COMMENTAIRES 0 COMMENTAIRE