Les objets connectés

1. Les premiers objets connectés

En 1982, les étudiants en informatique de l’université de Carnegie-Mellon font face à un léger problème. Le distributeur automatique de Coca-Cola qui était situé près de leurs locaux a été déplacé et il leur faut maintenant plusieurs minutes pour aller acheter leurs boissons. De plus, il arrive que la machine en question soit vide lorsqu’ils vont chercher une bouteille. Des étudiants installent alors quelques composants électroniques qui détectent s’il reste des bouteilles dans l’appareil et les connectent à un ordinateur PDP-10 du département informatique. Ils écrivent un petit programme permettant de connaître l’état du distributeur et de savoir, d’une part, s’il y a des bouteilles dans la machine, et, d’autre part, si elles ont eu le temps d’atteindre la bonne température. Ce programme peut être interrogé depuis les autres ordinateurs de l’université et plus largement depuis l’ancêtre d’Internet, le réseau ARPANET. C’est ainsi que naît le premier objet connecté. Quelques années plus tard, en 1989, le dirigeant d’un salon sur l’informatique et les réseaux met au défi John Romkey, l’un des créateurs du protocole TCP/IP, de présenter lors de l’édition à venir un grille-pain connecté à Internet. Le challenge est relevé et les visiteurs du salon de 1990 peuvent admirer un grille-pain de modèle Sunbeam Deluxe Automatic Radiant Control, commandé depuis Internet.

Plus sérieusement, dans un article paru dans le numéro de septembre 1991 de la revue Scientific American, Mark Weiser, le directeur du laboratoire d’informatique du centre de recherche de Xerox, prédit un monde où les ordinateurs s’intégreront avec les objets de la vie courante à un point tel qu’ils deviendront à la fois omniprésents et invisibles (l’article utilise le terme d’ubiquitous computing). L’article décrit des ordinateurs-objets basés sur des matériels de puissance et de coût limité et des réseaux...

1. La surface d’exposition des objets connectés

Dans un tweet du 12 décembre 2016, Mikko Hypponen, directeur de la recherche chez l’éditeur de solution de cybersécurité F-Secure, énonce « la loi d’Hypponen » : « Quand un objet est décrit comme intelligent, ça veut dire qu’il est vulnérable [1] ». Les caractéristiques spécifiques des objets connectés augmentent en effet fortement leur surface d’exposition. Ils sont équipés de capacités de traitement et de calcul, de microprocesseurs et de mémoires et mettent souvent en œuvre de véritables systèmes d’exploitation disposant d’une multitude de fonctionnalités rarement toutes nécessaires aux activités réalisées. Plus ces capacités sont variées et puissantes, plus la surface d’exposition à des attaques s’accroît. Les scénarios de risque pouvant concerner un objet connecté, comme un appareil électroménager, sont bien plus multiples et divers que ceux ciblant un équipement équivalent, mais non connecté, ne contenant que quelques circuits électroniques.

Au-delà des capacités de traitement qu’il contient, un objet connecté est par définition accessible par un réseau. Il envoie des données et reçoit des données et des commandes. Cette capacité de communication et d’interaction à distance entraîne une augmentation très significative de la surface d’exposition. Le risque est évidemment maximal lorsque l’objet est directement accessible sur Internet, n’importe quel acteur malveillant pouvant alors tenter sa chance et essayer de trouver des vulnérabilités dans les fonctionnalités et mécanismes de sécurité. Il pourrait sembler que connecter un objet à Internet représente un risque limité, car il est alors perdu dans un océan d’adresses IP. Mais il existe des outils, tels que Shodan (https://www.shodan.io), créé en 2009, qui permettent de localiser et rechercher des ordinateurs, équipements et objets connectés...

1. Le domicile connecté

La promesse du domicile connecté est de rendre la vie de ses occupants plus facile, de réduire le temps consacré aux tâches ménagères, d’optimiser la consommation d’énergie et d’avoir des loisirs de meilleure qualité. Des centaines de millions de maisons ou d’appartements à la surface du globe sont dotés d’objets connectés, et il n’est plus rare de trouver des domiciles où plusieurs dizaines d’objets sont connectés au réseau Wi-Fi. Il s’agit d’un environnement le plus souvent bâti petit à petit, en assemblant des appareils provenant de divers fabricants et utilisant des technologies et des protocoles de communication variés. À l’exception de quelques architectures mises en place par des constructeurs ou fournisseurs de service à des fins de recherche ou de démonstration, les maisons connectées ne bénéficient pas d’une approche globale de conception et d’intégration permettant d’obtenir une vision d’ensemble et sur le long terme des fonctionnalités, adhérences, contraintes et risques. En outre, contrairement à d’autres cas d’usage d’objets connectés comme l’industrie, la maison connectée ne dispose pas d’un administrateur système et réseau professionnel. Souvent, un membre de la famille enthousiaste et early adopter est moteur dans l’apparition d’objets connectés au sein du foyer, et il en assure l’installation et la gestion. Cependant, toutes les maisonnées ne comptent pas une personne ayant l’expertise et le temps lui permettant de comprendre pleinement les risques liés à l’utilisation d’objets connectés, de configurer correctement ces appareils, d’en surveiller le fonctionnement et de les maintenir en condition de sécurité.

2. L’espionnage par le son et l’image

Le domicile connecté est un lieu où des risques nouveaux sur la sécurité et la vie privée des résidents surgissent, alors que c’est l’endroit intime par excellence. On trouve de multiples canaux par lesquels des données sur les habitants...

1. Les objets « wearables »

Les objets connectés que l’on porte, au poignet ou dans les poches, constituent une catégorie particulière, qui génère des risques spécifiques. Il peut s’agir de téléphones, de montres connectées ou de bracelets dédiés au suivi de l’état et de l’activité physique (fitness tracker). De tels appareils sont portés le jour, mais aussi parfois la nuit. Ils permettent de mesurer les trajets réalisés, les distances parcourues, le nombre de pas faits, d’étages gravis ou de calories consommées, les durées et intensités des exercices physiques, les périodes et la qualité du sommeil, etc. Les données captées sont synchronisées avec le téléphone de l’utilisateur et sont envoyées sur des serveurs, où elles sont conservées, consolidées, analysées, comparées. Les porteurs de tels objets peuvent ainsi surveiller leur activité, vérifier qu’ils ont atteint les objectifs fixés, par exemple le nombre de pas par jour, évaluer leurs progrès, éventuellement partager des données, telles que leurs performances sportives, avec des proches.

Les accéléromètres et les gyroscopes comptent parmi les principaux capteurs des objets connectés que l’on porte sur soi. Un accéléromètre mesure l’accélération linéaire due aux mouvements de l’appareil et donc de la personne sur qui il est placé. Un gyroscope mesure les variations d’orientation de l’objet selon les trois axes (roulis, tangage et lacet). Ces capteurs que l’on trouve dans les objets connectés sont capables de mesures précises. Ils peuvent notamment détecter les mouvements caractéristiques des pas, et par conséquent compter les pas du porteur. Il s’agit de capteurs invisibles, dont bon nombre d’utilisateurs d’objets connectés ne soupçonnent même pas l’existence. Certains bracelets de suivi d’activité ou montres connectées sont en outre équipés de capteurs spéciaux permettant de mesurer le rythme cardiaque...

1. Les objets géolocalisables

Dans la nuit du 1er septembre 1983, à l’ouest de l’île de Sakhaline, la chasse soviétique abat un Boeing 747 de la Korean Air Lines. L’appareil qui devait relier New York à Séoul avait dévié de sa route et était rentré par mégarde dans l’espace aérien soviétique. L’avion s’écrase en mer, tuant les deux cent soixante-neuf passagers et membres d’équipage. Le drame provoque l’indignation des gouvernements et des opinions publiques dans le monde entier. L’enquête montre que le Boeing 747 n’a pas suivi son plan de vol à cause d’un problème dans le fonctionnement des différents systèmes de guidage, basés sur des balises radio et sur une plateforme de navigation inertielle.

Quinze jours plus tard, le porte-parole de la Maison-Blanche annonce que le président Ronald Reagan a décidé de permettre aux avions civils de recourir au système Global Positioning System (GPS), afin que pareille tragédie ne puisse survenir à nouveau. Le GPS est alors en cours de développement depuis 1973 par le département de la Défense des États-Unis. Il est basé sur l’utilisation de plusieurs satellites équipés d’horloges atomiques extrêmement précises et émettant des ondes radio vers le sol. Un récepteur terrestre qui capte les signaux d’au moins trois de ces satellites peut calculer sa position en latitude et longitude avec une précision de quelques dizaines de mètres. Les premiers satellites du système GPS sont lancés en 1978. En 1990, le GPS est suffisamment efficace pour être employé par les troupes américaines lors de la première guerre du Golfe. En 1993, le système est déclaré pleinement opérationnel, avec vingt-quatre satellites en orbite. En 2000, le mécanisme qui dégradait volontairement la précision du signal GPS pour les utilisateurs autres que les forces armées américaines est désactivé. Les signaux du GPS sont également largement utilisés pour obtenir l’heure de façon très...

1. Les attaques cyberphysiques

Si les capteurs sont les yeux, les oreilles, la langue et le nez d’un objet connecté, les actionneurs en sont les mains, les pieds, les bras ou les jambes. Ils permettent en effet à l’objet d’agir sur lui-même et sur le monde physique. Un objet connecté peut embarquer des actionneurs comme des moteurs électriques pour se déplacer ou faire se mouvoir certaines de ses parties, des haut-parleurs pour produire des sons, un écran pour afficher des images ou du texte, des LED pour émettre de la lumière, etc. Il peut mettre en œuvre des actionneurs commandant des dispositifs mécaniques, électriques, pneumatiques ou hydrauliques, tels que des serrures, des thermostats, des vannes ou des pompes. Il est ainsi possible à l’objet connecté de provoquer et contrôler un mouvement linéaire ou rotatif, un débit de fluide, un courant électrique ou un champ magnétique. Une telle action sur le monde physique peut être réalisée par un objet connecté agissant de manière autonome sous le contrôle de consignes ou d’objectifs préétablis, en fonction des données fournies par ses capteurs, ou sous la surveillance directe d’un opérateur à distance.

La capacité des objets connectés à agir sur leur environnement est porteuse d’un nouvel univers de risques dits « cyberphysiques ». Dans l’informatique classique, faite d’ordinateurs personnels, de serveurs, de bases de données, de fichiers, d’e-mails et d’applications métier, des incidents peuvent survenir, mais les plus grands risques sont de perdre des données. Des attaquants étant parvenus à prendre le contrôle d’objets peuvent, via les actionneurs, provoquer des dégâts dans le monde physique, en tirant parti de multiples phénomènes, notamment ceux liés aux différentes formes d’énergie. Le terme « effet cinétique » est parfois utilisé pour décrire les conséquences de ces attaques.

Le 4 mars 2007, des chercheurs du laboratoire américain Idaho National Laboratory mènent une expérience...

1. Les stimulateurs cardiaques et défibrillateurs implantés

Certains dispositifs médicaux sont implantés dans le corps des patients afin de traiter différentes pathologies. Des dizaines de millions de personnes dans le monde sont porteuses de stimulateurs cardiaques et de défibrillateurs implantés. Ces objets placés dans la cage thoracique sont composés de capteurs mesurant le rythme cardiaque, et d’actionneurs capables d’appliquer des décharges électriques. Ces appareils communiquent via des ondes radio avec des équipements de configuration utilisés par les médecins, et dans certains cas avec des dispositifs de surveillance situés dans les domiciles des patients, qui peuvent être consultés par les médecins par le biais de connexions internet.

Une première étude [71] académique parue en janvier 2008 porte sur les menaces qui pèsent sur les appareils médicaux implantables transmettant des données par ondes radio. Elle décrit les principaux scénarios de risques théoriques : identification à distance de l’objet et du patient, récupération de données médicales, dont le diagnostic et la thérapie, modification de la configuration de l’appareil, génération de décharge électrique potentiellement fatale, épuisement prématuré de la batterie.

En mai 2008, un article [72] publié par la même équipe décrit de façon plus précise des attaques à destination de stimulateurs cardiaques et de défibrillateurs implantés. Via des ondes radio, un attaquant pourrait, sur certains modèles, donner des ordres de modification de la configuration de l’appareil, dont les comportements programmés en fonction du rythme cardiaque du porteur, ou délivrer une décharge électrique pouvant tuer le patient. Il est possible, en outre, d’identifier qu’une personne est équipée d’un tel dispositif, ou de provoquer l’épuisement prématuré de la batterie de l’appareil et son arrêt. Cette étude a un certain retentissement, car le New York Times publie un article...

1. Les voitures connectées

Il existe des objets connectés que l’on porte, mais il en existe d’autres qui nous transportent. Les véhicules connectés, voire autonomes, dont les voitures représentent la principale famille, sont de plus en plus présents dans nos vies.

Une voiture moderne peut être décrite comme un ordinateur sur roues, ou plus précisément un réseau d’ordinateurs sur roues. Les ECU (Electronic Control Unit) sont des équipements spécialisés en charge de contrôler les différents composants mécaniques et électriques du véhicule. Ils peuvent collecter les mesures de capteurs parmi les dizaines que contient la voiture, dont la vitesse instantanée, l’accélération, la position des amortisseurs, la vitesse de rotation des roues, la pression des pneus, la luminosité, la géolocalisation, la détection d’obstacles devant ou derrière le véhicule, via des caméras, des radars, des sonars ou des lasers. Ils peuvent prendre en compte les ordres du conducteur au travers du volant, des pédales, du levier de vitesse, des boutons et interrupteurs du tableau de bord ou de l’écran tactile. À partir de ces données et de ces ordres, ils peuvent envoyer des commandes aux actionneurs liés à la direction, à l’accélérateur, aux freins, à la suspension, aux portes, au coffre, aux vitres, aux phares, aux essuie-glaces, à la climatisation, etc. Enfin, ils peuvent contrôler les informations affichées sur le tableau de bord comme la vitesse, le régime moteur, le niveau de carburant ou la charge de la batterie. Grâce à ces équipements, les voitures peuvent offrir des fonctionnalités avancées d’assistance (régulateur de vitesse, aide au stationnement, guidage GPS, caméra de recul, détection de panneaux de signalisation), de sécurité (détection d’obstacles, anticollision, freinage d’urgence, surveillance des angles morts, système antiblocage des roues, alerte de franchissement de ligne, prétensionneur de ceinture de sécurité, airbag, antivol) et de confort (climatisation, lecteur de média...

1. D’énormes quantités de capteurs observant le monde

Avec l’essor des objets connectés, la planète s’est couverte de dizaines, voire de centaines de milliards d’yeux et d’oreilles. Ces gigantesques quantités de capteurs sont capables de voir, entendre, mesurer le monde qui les environne. Ils peuvent collecter de multiples grandeurs physiques. Les mesures analogiques ainsi faites sont ensuite numérisées pour être analysées et utilisées par l’objet connecté lui-même, par le fabricant ou par des acteurs tiers.

Des livres et des reportages nous ont alertés depuis des années sur la quantité d’informations que nous fournissons aux opérateurs des principaux réseaux sociaux sur la base des contenus que nous postons, relayons ou « likons ». Ces données leur permettent de bâtir des profils précis (genre, âge, revenu, profession, niveau d’éducation, lieu d’habitation, composition du foyer, voire opinions politiques, orientation sexuelle, religion, etc.) dont sont friandes les publicités ciblées. Les données collectées par les objets connectés sont susceptibles de démultiplier ce profilage et de le rendre encore plus invisible. Les milliards d’objets connectés en opération font que, lors d’une journée, une personne peut être « captée » par des dizaines, centaines ou milliers d’objets connectés. Certains sont théoriquement sous notre contrôle, comme les téléphones, les objets dans nos domiciles ou nos véhicules connectés. Nous pouvons ne pas les utiliser ou les stopper temporairement, mais les capteurs de ces objets sont le plus souvent constamment actifs. Nous n’avons pas une vision exhaustive de tous les capteurs embarqués dans nos objets connectés...

1. Les attaques sur les serveurs

Un attaquant qui voudrait accéder à des données collectées par des objets connectés ou en prendre le contrôle peut suivre deux stratégies. Il peut cibler directement chaque objet connecté (ce qui peut être un peu fastidieux), ou il peut viser les serveurs avec lesquels les objets dialoguent et se rendre maître de tous les objets traités par ces serveurs ainsi que des données envoyées par ces objets.

En juillet 2017, lors d’une intervention dans une conférence, Elon Musk révèle que l’une de ses principales préoccupations est qu’un attaquant parvienne à s’introduire sur des serveurs de Tesla et prenne le contrôle de la totalité de la flotte de véhicules en opération. Ce scénario n’est pas complètement abstrait. Un membre de la communauté des propriétaires de voitures de la marque a en effet découvert, quelques mois plus tôt, une faille dans l’un des serveurs de la société. Grâce à cette vulnérabilité, il était en mesure d’accéder aux données de n’importe quelle Tesla en circulation, y compris sa position, sa vitesse ou son niveau de charge. Il aurait également pu envoyer des commandes aux véhicules et notamment activer la fonctionnalité « Summon » qui permet d’ordonner à la voiture de se déplacer de quelques dizaines de mètres pour, par exemple, sortir d’un garage. Heureusement, le découvreur de cette faille en fait aussitôt part à Tesla, ce qui lui vaut une récompense de 50 000 dollars.

Cette menace d’accès aux serveurs se matérialise quand, en mars 2021, un groupe d’activistes parvient à pénétrer sur les systèmes de la société Verkada, qui vend des caméras de sécurité connectées, via un serveur vulnérable exposé sur Internet. Ce faisant, ils peuvent accéder à des vidéos provenant de plusieurs milliers de caméras installées chez plusieurs dizaines de clients. Le groupe publie notamment sur Twitter quelques copies d’écran montrant...

1. Analyser les risques

Du fait de leurs multiples capacités à sentir le monde physique et à agir dessus, à communiquer via les réseaux et à exécuter du code, les objets connectés sont susceptibles d’engendrer de nombreux risques, nouveaux, complexes, peu visibles et inattendus. Les objets connectés nécessitent donc une approche d’analyse des risques systématique et détaillée, dès le lancement de projets de conception d’objets connectés ou d’intégration d’objets connectés dans un processus, et lors de toute évolution significative.

L’analyse des risques est une discipline pratiquée depuis des dizaines d’années dans les secteurs industriels qui « gèrent » de la vie humaine. Les entreprises opérant dans le domaine de l’énergie, des transports ou de la chimie, ainsi que leurs fournisseurs, sont habituées à réaliser des analyses portant sur leurs installations industrielles, afin d’identifier et d’évaluer les risques pouvant impacter la sûreté des personnes et des biens. Des méthodologies dédiées, comme FTA (Fault Tree Analysis), FMEA (Failure Modes and Effects Analysis) ou HAZOP (Hazard and Operability Analysis), sont utilisées pour cerner des risques liés principalement à des évènements non intentionnels, tels que des pannes. L’analyse des risques est par ailleurs pratiquée depuis une trentaine d’années dans le domaine de la sécurité des systèmes d’information, avec des approches comme EBIOS, qui permettent de mettre en évidence les risques de perte de confidentialité, intégrité ou disponibilité des données du fait d’actions malveillantes. Ces deux familles de méthodologies...