Les pirates informatiques pourraient s'inviter sous le sapin

Les pirates informatiques pourraient se préparer à de joyeuses fêtes avec l'arrivée entre les mains des consommateurs de millions de nouveaux - et potentiellement vulnérables - appareils connectés à internet.

Drones, bracelets de fitness, montres et appareils électroménager "intelligents"... n'importe quel appareil connecté "peut être un point charnière pour entrer dans votre réseau", indique à l'AFP Bruce Snell, responsable des questions de cybersécurité et de protection des données chez Intel Security.

Même si s'introduire dans un accessoire vestimentaire connecté ou un drone ne rapporte pas grand chose a priori aux pirates, cela peut ensuite servir à accéder au smartphone auquel ces appareils se connectent, ou à des données stockées en ligne, relèvent des experts en sécurité.

"Ils pourraient potentiellement installer des virus qui repèrent tous les mots de passe sur votre réseau et les renvoient ailleurs", explique Bruce Snell.

Pour faciliter leur usage, beaucoup des gadgets électroniques proposés aux consommateurs utilisent des connexions peu sécurisées et recourent souvent de manière minimale à des mots de passe ou autres moyens d'authentification, souligne-t-il.

De plus, beaucoup oublient de sécuriser leurs appareils, y compris avec des moyens simples comme changer leur mot de passe.

"Quand on reçoit ces nouveaux jouets qui brillent pour Noël, on veut juste commencer à s'en servir", commente Alastair Paterson, patron de la société de sécurité Digital Shadows.

Ce dernier note qu'avec la frontière de plus en plus floue entre travail et loisirs, les salariés risquent davantage de ramener des documents d'entreprise sensibles chez eux et que parfois, "rien qu'en se connectant au réseau wifi de la maison, ils exposent des documents sur tout internet".

Le cabinet de recherche Gartner estime que 6,4 milliard d'objets connectés seront utilisés dans le monde en 2016, soit 30% de plus que cette année, et que leur nombre grimpera à 20,8 milliards d'ici 2020.

Juniper Research prédit pour sa part que les ventes de "jouets intelligents" atteindront 2,8 milliards de dollars cette année, tout en notant que "les vendeurs se reposeront probablement sur l'expertise de fournisseurs extérieurs de logiciels pour éviter des désastres en termes de relations publiques causés par des pirates".

Prendre le contrôle de la bouilloire

Plus tôt cette année, des chercheurs de TrapX Security ont démonté un thermostat connecté de Nest (groupe Alphabet) pour montrer comment il pouvait servir à infiltrer un réseau domestique et surveiller les sites internet sur lesquels surfent les habitants de la maison ou leurs identifiants privés.

Même si Nest était jugé "relativement sûr", leur rapport s'inquiétait de ce "que les fabricants d'objets connectés, à tous les niveaux de la chaîne d'approvisionnement, ne semblent pas avoir d'incitation économique pour fournir la cybersécurité au départ", tandis qu'ils étaient "obsédés par la réduction des coûts et les designs compacts".

Des chercheurs de l'université Northeastern se sont de leur côté intéressés à des applications fitness pour smartphone, montrant qu'elles pouvaient laisser fuiter des mots de passe et des informations de géolocalisation par l'intermédiaire de réseaux wifi publics.

David Choffnes, qui conduisait l'étude, a rappelé que "nos appareils stockent vraiment tout sur nous: qui sont nos contacts, nos localisations, et suffisamment d'informations pour nous identifier car chaque appareil a un numéro d'identification unique".

Les bouilloires et autres cafetières connectées à internet présentent des failles similaires, d'après des chercheurs de la société de sécurité britannique Pen Test.

Cela permet d'allumer la bouilloire sans sortir de son lit, mais aussi à un pirate de "passer en voiture devant la maison et voler votre clé wifi", prévenait sur un blog le mois dernier Ken Munro de Pen Test. "Si on n'a pas configuré la bouilloire, c'est incroyablement facile pour des pirates de trouver votre maison et de prendre le contrôle de votre bouilloire."

Dans une étude plus tôt cette année, la société de sécurité californienne Veracode a aussi constaté que les dispositifs contrôlant les portes de garage ou les lumières dans les maisons connectées pouvaient être détournés pour allumer des micros et écouter des conversations, ou encore pour envoyer des alertes à des cambrioleurs quand la porte reste ouverte.

Face aux multiples risques des objets connectés, la Commission fédérale du commerce a d'ailleurs recommandé aux fabricants, dans un rapport cette année, "d'intégrer de la sécurité dans leurs appareils dès le départ", mais aussi de "limiter les données qu'ils collectent et conservent, et de s'en débarrasser dès qu'elles ne sont plus nécessaires".