Skip to content

Risques et sécurité des IoT

IoT Risques et Sécurité

Qu’est-ce qu’un IoT?

Avant de parler de risques et sécurité des IoT, on voit ce que c’est en deux lignes. Un objet connecté à Internet ou « IoT » pour « Internet of Things » est un objet possédant des capteurs physiques ou logiques pouvant collecter des données et nous informer sur un état du monde physique. Cet objet est relié à l’Internet et peut donc transmettre les données qui une fois traitées, nous sont recommuniquées sous une forme d’information souhaitée. Dans la majorité des cas, cet objet fonctionne avec un micro-système d’exploitation « OS » ayant des capacités limitées, mais suffisantes pour bien des fonctions. Leurs types de protocoles de communication peut varier entre le Bluetooth, NFC, LTE, BLE, LoRaWAN, Wireless ou simplement filaire. Au final, les données brutes qu’il communique se retrouvent très souvent sur Internet pour alimenter nos banques de données afin d’être traitées pour nous offrir des informations intéressantes et souhaitées pour certains.

Quelques exemples

Voici quelques exemples concrets dans nos vies personnelles. Sachez qu’il existe aussi plusieurs autres secteurs d’activités, dont l’ingénierie industrielle et aussi le milieu hospitalier. La liste est pratiquement sans fin et elle s’allonge continuellement au fil des mois.

  • Caméras et micros,
  • Détecteur de mouvements,
  • Assistants vocaux,
  • Ampoules et prises électriques,
  • Thermostats,
  • Serrures,
  • Haut-parleurs sans-fil,
  • Montre d’entraînement,
  • GPS de véhicules,
  • Système de localisation autos, animaux objets (TAG, AirTag)
  • Alarme de présence d’eau, fumée, etc.,
  • Capteur de qualité de l’air,
  • Capteur d’évaluation de foule,

Les données

Avec cette définition et ces multiples exemples et leurs applications, on comprend rapidement que les IoT peuvent avoir accès et traiter différentes données en très grande quantité, en temps réel et sans arrêt. On peut alors se questionner sur leur activité et les risques de sécurité.

Risques

Certains IoT représentent des risques de sécurité, c’est certain sans aucun doute. À la lecture de cette liste non exhaustive de questions qui suit, vous aurez assurément quelques réflexions, voire même de fortes inquiétudes.

  1. Que sont au juste toutes ses données pouvant être recueillies et communiquées?
  2. Est-ce que les données sont strictement utilisées que pour ce quoi on s’attend?
  3. Qui et quels systèmes ont accès à toutes ces informations?
  4. Est-ce que les informations touchant ma vie privée sont bien respectées?
  5. Est-ce que ces informations sont traitées sécuritairement? (dans l’IoT, en transit ou au destinataire)
  6. Est-ce que ces IoT sont ou peuvent être mieux sécurisés?
  7. Peuvent-ils accéder recueillir d’autres informations environnantes dans nos réseaux?
  8. Peuvent-ils présenter des vulnérabilités de sécurité au fil du temps?
  9. Leurs vulnérabilités découvertes peuvent-elles ouvrir la porte à une Cyberattaque?
  10. Est-ce que ces IoT peuvent être contrôlés et utilisés pour faire des attaques?
  11. Est-ce un risque pour mes ordinateurs et mon environnement informatique?
  12. Peuvent-ils être mis à jour?
  13. Comment faire pour mieux me sécuriser tout en pouvant en bénéficier?

À toutes ses questions, nous n’avons pas les réponses exactes, car elles ne relèvent pas toutes de notre contrôle directement, mais en grande partie des fabricants et il y en a plusieurs. Bien que leur « Marketing » soit excellent, ces derniers renseignent que très peu leurs consommateurs sur les aspects de sécurité. De plus, les fabricants de ces IoT n’ont pas tous le même degré de souci de sécurité sur la protection des informations ni les mêmes moyens.

Bien que les IoT nous sont souvent très utiles, ils peuvent aussi perturber nos vies. Les IoT offrent une large surface d’attaque. Les IoT augmentent donc la vulnérabilité des données, car ils collectent des données abondantes à partir de systèmes physiques et virtuels. S’ils ne sont pas correctement sécurisés ou n’offrent pas les bonnes options pour se faire, alors les appareils IoT pourraient devenir une cible facile pour les pirates et les cybercriminels. Ici, je n’ai même pas abordé le couplage de données provenant de différentes sources qui peuvent permettre l’identification et la reconstruction d’information de notre vie privée. C’est donc de plus en plus inquiétant.

Alors, que peut-on faire pour se protéger? Sachez que certains éléments dans tout ça peuvent être sécurisés et minimiser certains risques. Pour se faire, on doit faire notre bout de chemin qui est sous notre contrôle.

Sécurité à prévoir

Voici les quelques approches à considérer fortement pour limiter les risques.

Mots de passe

Ça paraît simpliste, mais c’est pourtant la première barrière que nous pouvons mettre en place. Plusieurs types de IoT viennent avec des mots de passe dits par défaut « Default password ». Alors, il est crucial de le changer dès sa configuration initiale ou dès que possible. Car les pirates ont des listes bien connues. Vous pouvez même consulter un site spécialement pour les IoT pour les connaître. Je vous épargne les listes du « Dark Web ».

Passwords pour la sécurité des IoT

Avoir des mots de passe robustes est et demeure toujours un incontournable. Aussi, aujourd’hui, il est important que nos mots de passe soient très robustes. Donc, au moins 12 caractères comportant un mélange de lettres minuscules et majuscules, des chiffres, des caractères spéciaux. Votre gestionnaire de mot de passe vous sera très utile.

Authentification à double facteur

Rehausser de beaucoup leur sécurité en activant l’authentification à double facteur 2FA ou MFA, si celle-ci est disponible. Cela vous permettra d’augmenté l’assurance que vous être le seul à avoir accès à votre IoT.

Authentification à double facteur 2FA MFA pour Tout inclus les IoT

Segmentation réseau

Afin d’éviter que les IoT puissent avoir un accès quelconque à nos autres informations pouvant être sensibles, il est donc recommandé d’isoler les IoT sur un réseau différent. Nul besoin d’avoir deux « Routers ». Pour les besoins familiaux, la majorité des routeurs récents permettent au moins deux zones. Soit, la zone de votre réseau régulier interne et une autre zone réseau dite pour les invités « Guest Network » qui n’ont pas accès à votre réseau régulier interne. Alors, simplement ajouter tous vos IoT dans la zone invitée. De cette façon ils seront isolés.

Pour les TPE et PME, il est fortement recommandé d’utiliser un vrai pare-feu « Firewall ». Ces derniers offrent beaucoup plus de fonctionnalités de sécurité dont la segmentation avec des réseaux virtuels « VLAN ». De plus, ils ne sont pas énormément plus chers et beaucoup plus robustes. Leurs fabricants offrent habituellement des mises à jour plus fréquentes pour colmater les dernières vulnérabilités. Au final, vous serez mieux protégés.

Network Segmentation pour la sécurité des IoT

Configurations de base

La majorité des objets connectés offre la possibilité d’être configurés, soit sur l’objet et/ou sur votre profil. Souvent, on ne fait malheureusement pas l’effort de valider les configurations possibles. Habituellement, les configurations initiales n’offrent pas un choix de vie privée très élevé, car les entreprises aiment toujours en savoir davantage sur vous. La sécurité quant à elle, n’est pas toujours assez élevée.

HttpS pour des transactions sécuritaires

Si une configuration le permet, privilégier toujours l’utilisation HTTPS qui offrira des échanges plus sécuritaires, même si le certificat est non reconnu par une autorité supérieure.

Donc, on gagne à réviser leurs configurations à coup sûr. La vie privée est un élément super important.

Mises à jour

Comme avec les systèmes d’exploitation et la grande majorité des logiciels, on doit vérifier régulièrement s’il y a des mises à jour à mettre en place. Malheureusement, certains fabricants d’IoT ont peu de maturité en matière de sécurité. En conséquence, peu de mises à jour disponibles pour certains IoT. Par contre, on ne doit pas négliger ceux qui nous offrent des mises à jour ayant des correctifs de sécurité ou des améliorations.

Souvent au fil du temps, des vulnérabilités parfois très importantes sont découvertes et nécessitent des mises à jour. La merveille est que dans certains cas, si vous avez bien configuré vos objets, ils peuvent nous aviser lorsqu’il y aura des mises à jour disponibles.

Mises à jour des IoT

Conclusion

Les IoT peuvent collecter beaucoup plus d’information que vous ne le croyez. Les fabricants n’ont pas tous à coeur la sécurité des données. On conséquences, les IoT ne présentent pas de standard de configuration. On doit alors configurer tous les éléments de sécurité qui peut s’offrir et vérifier régulièrement les changements, les améliorations et les mises à jour. Les règles de base de sécurité sont importantes. Par ailleurs, il est fortement recommandé de protéger son réseau privé en isolant les IoT sur un segment réseau différent.

Pour plus d’information, n’hésitez pas à joindre le groupe d’entraide ou me contacter directement pour de l’accompagnement sur le sujet.

Devenez vous aussi rapidement avisés, proactifs et Cybersécuritaire !
« Les bénéfices d’une prévention minimale en sécurité dépassent largement son investissement »
– Joel Dubois

Facebook
LinkedIn
Twitter
YouTube