L'internet des objets : une opportunité pour tous

Sécurité du Cloud
L'internet des objets : une opportunité pour tous

Il ne se passe pas une journée où on n’entend pas parler de l’internet des objets. Que cela soit les montres connectées, les balances, les systèmes domotiques (tiens d’ailleurs, nous avons un blog post sympa autour du développement et de la sécurité sur ce sujet aussi...), notre vie devient de plus en plus connectée et directement impactée par Internet.

Je me souviens en 2003 des lapins connectés que mon ami Rafi Haladjian (http://fr.wikipedia.org/wiki/Nabaztag) avait mis en place. Un précurseur en France ce lapin : il vous donnait la météo, le cours de bourse, changeait de couleur à la réception d’un email, et même était capable de lire automatiquement un livre avec un tag...

Depuis le lapin est en partie décédé, mais Rafi a relancé quelque chose autour de cela (https://sen.se). 

Bref, on n’est pas là pour parler de la vie de Rafi, mais de l’internet des objets et de la sécurité bien sûr...

Ces objets connectés sont une opportunité pour beaucoup de business actuels et à venir. Les offres de Domotique à distance se démocratisent (blyssbox de Castorama par exemple), la télésurveillance par internet avance (offre SFR et offre Orange), la balance Withings (http://www.withings.com/fr) me dit que je suis en surpoids et que ma masse graisseuse est un poil au dessus de la norme.

Tous ces éléments vont influencer notre vie, mais qu’en est il de la sécurité ?

Regardons, pour commencer ma balance Withings sur deux points :

Le respect de la vie privée :

Ma balance Withings indique donc un surpoids et que fait elle de l’information? A priori cette information est stockée chez Withings dans  mon espace personnel. S'il on regarde les conditions générales d’utilisation du site Withings (http://www.withings.com/fr/index/terms#termsofusefr) on s’aperçoit que le fournisseur ne s’est engagé sur rien... ou presque... Donc en gros il demande aux utilisateurs de faire attention à ne pas donner l’accès à leur compte. Quand on sait que vous trouvez des tonnes d’applications qui s’interconnectent entres elles pour rapatrier les informations (balance, glucomètre, tensiomètre, FC, activité, ...) et vous mettre tout dans un seul et joli écran (cf tactio santé) : 

Tactio santé

Je vous laisse voir le problème qui peut en découler; les conditions d’utilisation disent explicitement que si vous stockez dans le Cloud de tactio vos données, ils peuvent en faire ce qu’ils veulent… Les vendre aux assureurs peut-être? 

 Le respect de la vie privée semble important (vu qu’ils font un article des CGV dessus) mais je ne pense pas que l’on ai le même point de vue sur le respect...

L'envoi des données chez Withings

J’ai sniffé un peu ma balance et  j'ai vu que l envoi est fait en HTTP... hum hum… pour l’envoi des données sensibles je vous laisse réfléchir... pas de confidentialité... J’ai aussi été vérifié sur le site de Withings car ils ont une API...(http://www.withings.com/fr/api). Et bien même dans la doc on ne parle par de HTTPS... sauf pour l’obtention du token OAuth…

Données Withings

Donc là encore, on est loin des bonnes pratiques standards de sécurité sur les transmissions de données sensibles… si l’API ne le demande pas, le développeur d’application ne le fera pas. Donc cela ne sera pas pris en compte.

Je ne vais pas évoquer le problème de la sécurité de la plateforme de Withings (je suppose qu'ils testent la sécurité, et développent de manière sécurisée...) car je ne l’ai pas testée (et ne peux pas – voir code pénal R323-1), mais quand on voit qu'ils ne mettent pas en œuvre systématiquement l’HTTPS sur les APIs, j ai des doutes sur leur sécurité...

Au final, l’ANSSI nous bassine avec son SCADA (http://www.ssi.gouv.fr/fr/anssi/evenements/discours-de-patrick-pailloux-directeur-general-de-l-anssi-lors-des-assises-de.html) de partout, mais l’internet des objets sera sûrement plus drôle et surtout plus intéressant pour la sécurité en terme d’opportunité d’ici quelque temps...

Sébastien Gioria, Consultant Sénior en Sécurité des Systèmes d'Informations, Advens