Les objets connectés, points faibles de la sécurité informatique
Les mots de passe par défaut sont souvent laissés inchangés par les particuliers lorsqu'ils installent des objets connectés. Résultat, des personnes mal intentionnées peuvent prendre le contrôle à distance des appareils.
En Suisse, plus de 200 caméras de vidéosurveillance sont accessibles à tous sur le site Insecam.org et donnent accès en direct à des salons, chambres à coucher, jardins ou bureaux.
"Aujourd'hui, on estime qu'une personne sur cinq va laisser les codes par défaut (...), les gens veulent utiliser tout de suite leur matériel, ils se disent qu'ils changeront le mot de passe plus tard, mais ne le font jamais", explique Maxime Panosetti, directeur marketing de la société Dialarme.
Pour Paul Such, fondateur de la société SCRT spécialisée dans la sécurité informatique, on fait face au phénomène de l'arroseur arrosé: "Les gens installent une caméra de surveillance pour avoir une sensation de sécurité, mais mal configurée elle expose leur vie privée. C'est comme laisser les clés sur la porte".
Portes d'entrée des hackers
Les objets connectés sont devenus des portes d'entrée pour les hackers et les particuliers ne sont pas les seuls touchés. Les grandes entreprises doivent elles aussi se protéger. Car les risques sont importants.
Les Transports publics fribourgeois (TPF) ont ainsi dû segmenter leurs serveurs pour éviter qu'une attaque sur un objet connecté ne permette à des hackers de récupérer des données de l'entreprise ou, pire, de prendre le contrôle de l'aiguillage des trains à distance.
Scénario de fiction ou réalité? Aux TPF, les attaques sont en tout cas très fréquentes. Grégoire Ramuz, le responsable de la sécurité informatique, a recensé en deux semaines plus de 4 millions de "ping", des tests automatiques de robots qui analysent toutes les adresses IP de l'entreprise pour trouver des failles et plus de 300'000 tentatives d'intrusion plus poussées.
Des cibles sensibles
Les objets connectés ne se limitent pas aux seuls frigos, téléphones ou caméras. Chez les fournisseurs d'électricité du fribourgeois Groupe E, les infrastructures informatiques sensibles sont des barrages et des centrales d'électricité.
Pour Iris Mende, porte-parole du Groupe E, tout est mis en oeuvre pour veiller à la sécurité des installations sensibles: "Nous avons un réseau propre, complètement indépendant d'internet. Nous avons très peu d'objets connectés; les possibilités de s'infiltrer dans le réseau avec un appareil externe sont donc restreintes."
Du côté des Services industriels de Lausanne, environ 50 attaques sont détectées par jour, selon Denis Pareil, chef du Service d'organisation et d'informatique de la Ville de Lausanne.
>> Voir le reportage dans le 19h30 de dimanche.
Cécile Tran-Tien et Dimitri Zufferey/fme
Publié
Shodan, le Google des objets connectés à Internet
Votre vie connectée et celle des entreprises peut potentiellement être vue via un moteur de recherche comme Shodan, qui répertorie les objets connectés à internet. Une erreur, un mot de passe mal configuré et c'est la porte d'entrée rêvée.
Lancé en 2009, Shodan s'est surtout fait connaître des experts en sécurité informatique et des hackers pour tenter de rentrer dans les réseaux. Les premiers faits d'armes ont révélé qu'il était possible de pénétrer le réseau d'un barrage français ou celui d'un aiguillage de train norvégien.
Le problème est qu'actuellement des objets comme des frigos ne sont pas dotés de système d'exploitation et d'antivirus. Certaines données collectées partent dans le réseau sans que le consommateur ne sache vraiment où.