3 Questions qui n'ont pas été posées au CES 2014

Sécurité du Cloud
3 Questions qui n'ont pas été posées au CES 2014

Le Consumer Electronics Show 2014 de Las Vegas a fermé ses portes le 10 janvier et il a fait beaucoup de bruit autour de l'internet des objets (http://www.boursorama.com/actualites/ces-2014--las-vegas-parie-sur-les-objets-connectes-1fd7f0b06d409883f339e11b5779ce13).

Cet engouement légitime des médias, de l'industrie et des utilisateurs fait néanmoins une impasse quasi totale sur les enjeux liés à la sécurité de ces nouveaux usages (nous en parlions déjà dans un précédent billet http://www.advens.fr/blog/linternet-des-objets-une-opportunite-pour-tous sur la sécurité des objets connectés). Il n'y a guère que le dinosaure Bruce qui, à priori, a fait un petit papier dans Wired (http://www.wired.com/opinion/2014/01/theres-no-good-way-to-patch-the-internet-of-things-and-thats-a-huge-problem/ ), mais en dehors de ça, aucune des trois questions suivantes n'était dans la tête des visiteurs, et ne le sera encore moins quand Madame Michu va acheter le dit objet.

Quelles sont les données collectées et quel est leur niveau de sécurité ?

Quand bien même il est simple de comprendre qu'une balance collecte votre poids, IMC, qu'en est-il d'un thermostat ?

Est-ce qu'il ne collecte que la température ? Ou bien aussi le fait que vous êtes dans la pièce, que la porte ou la fenêtre est ouverte ? Ces données vont à un moment être stockées dans une zone dans le but de prendre une décision, ou tout simplement de vous les présenter.

Dans le cas du thermostat, il va lui, pouvoir gérer la température de votre pièce/maison. Donc il va avoir besoin d'une intelligence supplémentaire non embarquée probablement pour pouvoir prendre correctement la décision.

La sécurité de l'accès à ce type de données collectées peut alors devenir cruciale. Imaginez que le thermostat stocke le fait que vous n'êtes pas chez vous, et que la fenêtre est ouverte. Si un hacker accède à vos données, alors le cambriolage est bien plus facile (déjà qu'ils scrutent les réseaux sociaux (http://www.allianz.com.au/home-insurance/news/social-media-and-home-security)...

Sans parler pour autant de hack, on peut aussi évoquer l'usage qui sera fait de ces données par le fabricant de l'objet (voir le rachat récent des thermostats par Google)...

Quel est le niveau de sécurité de l'objet en général ?

Globalement aujourd'hui, tout le monde s'inquiète du niveau de sécurité d'un médicament, d'un avion, d'une voiture, etc... Mais là, sur le sujet de la sécurité de l'objet, black-out total ! L'état de l'art le recommande pourtant (il suffit de regarder toutes les normes, les référentiels, etc...), il faut faire "auditer" son système par une équipe indépendante de celle qui l'a conçu, pour évaluer le niveau de risque.

Il est sûr que beaucoup de ces objets ont passé des tests de sécurité, mais pas au sens informatique du terme. Les fabricants ont sûrement suivi des batteries de tests, pour vérifier que leur textile connecté (http://frenchweb.fr/vetements-connectes-ou-en-est-on/131432) ne s'enflamme pas ou ne pose pas de soucis de peau. Mais, ils n'ont sûrement pas regardé si le textile était "hackable". Le feu Barbany Jack nous rappelle que même les pacemakers (http://www.franceinfo.fr/high-tech/un-hacker-a-trouve-comment-pirater-a-distance-les-pacemakers-773715-2012-10-19) se hackent à distance ! (pas comme dans Homeland je vous rassure :))

Alors Messieurs/Dames les constructeurs, avez-vous précédé à des tests de sécurité sur vos produits ?

Comment est-il développé, intègre-t-il du code open-source connu ?

Bruce Schneier dans son papier de Wired, évoque un peu ce problème. En effet, les constructeurs ne vont pas "réinventer" la roue, ils vont utiliser du Java (comme dans le lapin de Rafi), des éléments open-source connus (comme dans la FreeBOX...), etc...

On s'aperçoit aujourd'hui que les capacités des Arduino (http://arduino.cc) sont suffisantes pour faire effectivement pas mal de choses. Et puis en fouillant un peu, on voit qu'il existe même une version de l'Arduino gros comme un tag (http://lilypadarduino.org/).

Il est effectivement très simple de développer un petit système autour d'un Arduino, pour prototyper un objet électronique utile et/ou amusant. Mais cela est fait au détriment complet de la sécurité; le sujet n'est pas évoqué (cherchez bien sur Google, on parle de plein de choses autour de la sécurité et des Arduino, mais ce que vous trouverez porte surtout sur la création d'un "Home security system basé sur Arduino". Personne n'évoque la sécurité de la plateforme, ni du développement des petits programmes embarqués (surtout que le langage de développement sur Arduino est très très proche du C...).

Regardez aussi les Raspberry PI, qui eux permettent de faire tourner une version de Linux "embedded". Lorsque ce système sera en production et potentiellement accessible, qu'en sera-t-il des mises à jour du système ? Qui effectuera le changement si un patch critique existe pour le système d'exploitation ? Bien sûr, certains objets ou éléments contiennent des possibilités d'upgrade. Mais je n'ai pas vu, sur les différents systèmes, des upgrades dus à la sécurité. Uniquement pour rajouter différentes fonctionnalités ou corriger des bugs dans le programme de l'objet (algorithme, etc...).

Voilà, je vous laisse avec ces trois réflexions, en rappelant que Google, vient de dépenser 3,2 Milliards de $ dans l'achat d'un (ou de plusieurs) thermostats connectés http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203239895424-google-debourse-3-2-milliards-de-dollars-pour-nest-labs-642531.php. On en reparlera bientôt peut-être autrement (sans oublier non plus les nouvelles lentilles - voir l'article de l'AFP)...

Sébastien Gioria, Consultant Sénior en Sécurité des Systèmes d'Informations, Advens