Tech & internet

A peu près tous les objets connectés ont déjà été piratés

Lily Hay Newman et Andréa Fradin, mis à jour le 31.12.2014 à 15 h 21

 L’Internet des objets  par Wilgengebroed | FlickR licence cc by

 L’Internet des objets par Wilgengebroed | FlickR licence cc by

A ce moment de l'année en 2013, de nombreuses études désignaient 2014 comme l'année de l'Internet des objets. La prédiction était partout. Bien sûr, il y avait quelques sceptiques, mais le buzz entourant les maisons intelligentes, le quantified-self (le fait de suivre et mesurer le moindre de ses faits et gestes), et l'interconnexion générale était bien partout.

Cette vision a sérieusement déraillé. L'année 2014 s'est avérée être en réalité l'année du piratage. Mais ce n'est pas une coincidence qu'on ait voulu une année de l'Internet des objets et qu'on ait eu à la place une année de l'Internet piraté. Plus il y a d'appareils et de points d'entrée sur le réseau, plus il y a d'opportunités pour un intrus de trouver un moyen de s'y faufiler. Cela ne rend pas ces piratages moins intelligents... ou problématiques.

Alors que vous êtes probablement en train de profiter de cette période de vacances, et en train de formuler des résolutions pour 2015 comprenant thermostats intelligents et bracelets connectés pour vos exercices de fitness, voici une liste de chaque appareil, chaque gagdget personnel, chaque objet domestique qui a déjà été l'objet d'une intrusion informatique.

Frigo, pacemakers, TV, clés USB, imprimantes...

Une bouilloire et des fers à repasser: même ces objets semblant parfaitement inoffensifs peuvent avoir des puces espionnes en eux, comme l'explique cet article de CBS.

Des imprimantes: il y en a au moins une dans chaque bureau voire foyer, et toutes peuvent être piratées pour faire des choses rigolotes comme jouer à un bon vieux jeu vidéo... mais aussi pour des trucs moins marrants. Rappelez-vous par exemple de cette enquête de journalistes norvégiens, qui a prouvé que bon nombre d'imprimantes connectées à Internet sans être protégées par un mot de passe pouvaient être pilotées à distance. Pour imprimer des messages flippants ou voler des documents envoyés sur l'appareil...

Une réalité également valable en France, comme l'a démontré cette enquête de Rue89, qui s'inspire de l'expérience norvégienne.

Des appareils médicaux: si la série Homeland nous a bien appris quelque chose, c'est que les pacemakers peuvent être piratés. Et ils peuvent vraiment l'être, ainsi que les défibrillateurs, les pompes à insuline, entre autre équipement hospitalier. Chouette.

Des lumières connectées: Philips Hues et d'autres ampoules intelligentes ont été compromises, en partie parce qu'elles sont organisées dans des réseaux dits mesh ad hoc, où les émetteurs et les récepteurs de chaque ampoule sont mal sécurisés, et utilisent le réseau-Wi-Fi pour partager des données. Et c'est le problème de bien des appareils de l'Internet des objets.

Des télévisions «intelligentes»: on peut en faire des choses avec ces écrans là. Les pirates peuvent voler les identifiants d'un compte, et prendre le contrôle des micro et caméras incorporés au téléviseur pour garder un oeil (et une oreille) sur votre vie.

Tout ce qui filme (caméra pour surveiller bébé, caméra de sécurité...): beaucoup de ces appareils sont protégés par un mot de passe facile à trouver, voire inexistant, ce qui permet aux intrus de suivre en direct ce qu'il se passe dans votre maison. Ou votre bureau.

Là encore, se référer à l'enquête norvégienne sur l'Internet des objets pour avoir des exemples concrets... et saisissants.

Et donc, les webcams aussi: elles sont la cible de hackers malveillants depuis des années. Pour faire court, on peut considérer que toutes les caméras, ainsi que tous les micro incorporés, représentent un risque. Particulièrement parce qu'ils capturent des données qui ont potentiellement une certaine valeur.

Le problème, c'est qu'il est difficile de dire si ces appareils ont été ou non compromis. Comme l'a dit Andrew Paterson, du Britain's Information Commissioner's Office (ICO) (qui s'occupe de thématiques telles que les données personnelles ou la vie privée en Grande-Bretagne), à CNN:

«Si vous pouvez accéder à distance à quelque chose, cela signifie que d'autres peuvent aussi y accéder et que vous devez donc le verrouiller. Sinon, vous vous exposez à un risque.»

La prise de contrôle d'un ordinateur à distance, parfois pratique, n'a rien de nouveau: dans les années 1998, le bien nommé «Back Orifice» permettait par exemple de s'y livrer. Sans surprise, des utilisations malveillantes de ce programme (et de dérivés équivalents) en ont été faites, notamment via les webcams des internautes.

Les thermostats: un hacker malveillant avec un accès physique à un réseau de Nest, boîte de domotique récemment rachetée par Google, a prouvé pouvoir compromettre un thermostat en 15 secondes. Et nos journalistes norvégiens, toujours eux, ont aussi fait joujou avec le chauffage central d'un immeuble non protégé par un mot de passe.

Les objets pour le sport: FitBits a été victime d'une intrusion, mais de manière plus générale, la plupart des bracelets connectés et objets pour le fitness sont vulnérables, à en croire une étude datant du mois de juillet de la société de sécurité Symantec.

Des grille-pain: de nombreux équipements de cuisine ont été piratés...

Des réfrigérateurs: ... et les frigos ne font pas exception. Selon certains observateurs, ils serviraient à relayer des attaques DDoS, mais d'autres se montrent plus sceptiques.

Des clés USB: là encore, rien de nouveau sous le soleil, mais il est bon de savoir que ces appareils de stockage ont une vulnérabilité intrinsèque. Comme d'ailleurs potentiellement tout autre dispositif mobile (oui, même les disquettes!). C'est une règle de base en sécurité informatique: dès que quelqu'un peut prendre, pour le trifouiller, un appareil susceptible d'être branché sur votre ordinateur qui contient lui-même des informations sensibles, faites attention.

Cigarettes électronique: il ne s'agit pas d'une intrusion visant à subtiliser des données, mais il est possible de trafiquer des e-cigs pour les rendre, disons, plus efficaces.

Des systèmes d'alarme domestique: la vie a un certain sens de l'ironie, non? Plus sérieusement, ce n'est pas très encourageant.

Les toilettes: d'abord, oui, il existe des toilettes connectées. Ensuite, oui, elles peuvent aussi être piratées.

Au-delà du piratage: l'usage de nos données

La plupart de ces piratages et autres vulnérabilités informatiques ont été découverts par des chercheurs en cybersécurité, et, concernant ces dernières, nombreuses sont celles qui ont été réparées et patchées. Mais elles soulignent le potentiel de l'Internet des objets, et en général, de toute chose branchée à un réseau, à être piraté. Ainsi, plus «intelligentes» sont les voitures, plus vulnérables elles deviennent. Même les Teslas. Oh, et aussi les avions. Et les bornes de retrait.

Et au-delà même: sans parler de piratage, tous ces objets drainent des données sans cesse plus finement analysées par les entreprises qui les fabriquent.

Parfois, contre votre gré même, comme l'a montré cette expérience d'un informaticien anglais sur son téléviseur LG. Parfois pour obtenir des choses intéressantes, voire ludiques, comme l'a montré cette carte de l'heure à laquelles les gens vont se coucher le soir du 31 décembre, obtenue à partir d'un bracelet connecté. Mais à chaque fois pour obtenir un profil toujours plus détaillé et massif de l'humanité.

Bonne année!

Lily Hay Newman
Lily Hay Newman (47 articles)
Journaliste
Andréa Fradin
Andréa Fradin (204 articles)
Journaliste
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte