Quand le FBI alerte sur ces pirates qui pourraient prendre le contrôle de votre vie grâce à tous les gadgets domestiques intelligents

Atlantico.fr : Quels sont les principaux risques en cas de piratage d'un objet connecté ? 

Franck DeCloquement : Les objets qui incluent des dispositifs informatiques non sécurisés ou très peu fiables nous laissent à la merci des pirates informatiques de tous poils. Au nombre de ces objets connectés (IoT), on compte : les assistants numériques ou vocaux, les montres intelligentes, les trackers de fitness, les dispositifs de sécurité à domicile, les thermostats, les réfrigérateurs et même les ampoules dites « intelligentes » sont aussi concernées. Ajoutez à cela toutes ces petites choses « gadgets » encore plus amusantes que sont les robots ménagers ou télécommandés, les consoles de jeux et les jouets ludiques, les poupées « interactives » et autres inoffensifs animaux en peluche « connectés »... et la liste exhaustive les recensant vous semblera soudainement interminable, tant ils sont en passe de coloniser nos habitats, le cerveau de nos enfants et de nos ados, et tous nos espaces de vie. 

Ces objets peuvent ainsi permettre aux pirates d'accéder sans vergogne à nos routeurs, donnant à ces prédateurs une possibilité non négligeable d’accès à nos réseaux domestiques. « Ceux-là même que nous pensions être sécurisés », explique en substance le bureau du FBI de Portland, dans l’une de ses dernières notes en date du 3 décembre 2019. Car ces objets d’apparence anodine disposent en réalité tous d’un point commun : ils envoient et reçoivent des données numériques. Mais sait-on au juste comment ces données sont collectées ? Et où celles-ci vont-elles une fois collectées ?

La signataire de cette note du FBI, Beth Anne Steele, recommande donc vivement à tous les possesseurs d’appareils connectés possiblement répartis dans les habitats de chacun d’entre nous, de s'assurer que ceux-ci sont correctement configurés afin que chacun puisse se protéger au mieux de potentielles agressions malveillantes. Le tout, en provenance directe d’attaquants déterminés et dissimulés à l’autre bout de la ligne…

« 59,7% des routeurs ont des informations d'identification faibles ou certaines vulnérabilités » et « 59,1% des utilisateurs dans le monde ne se sont jamais connectés à leur routeur, ou n'ont jamais mis à jour son firmware » avait indiqué « Avast » dans son « Smart Home Security Report 2019 » publié en février de la même année. Les statistiques ont été extraites de données collectées sur 16 millions de réseaux domestiques différents, et plus de 56 millions d'appareils dans le monde entier.

Le moyen le plus simple de protéger nos données contre un pirate informatique qui parviendrait à compromettre l'un de nos appareils IoT, consiste donc à sécuriser notre réseau domestique en le séparant sur un réseau distinct. « Votre réfrigérateur et votre ordinateur portable ne devraient pas être sur le même réseau », recommande en substance le célèbre FBI (Federal Bureau of Investigation) dans sa note de synthèse. « Conservez vos données sensibles les plus privées sur un système distinct de vos autres appareils IoT. » Voilà le mot d’ordre !

Le Bureau Federal des Investigations chargée aux Etats-Unis de l'application des lois, conseille également tous les particuliers de systématiquement changer les mots de passe installés « par défaut » sur tous les appareils connectés commercialisés. Et le tout, par des mots de passe uniques et beaucoup plus difficiles ainsi à « casser » pour des prédateurs informatiques. Bloquant ainsi toute velléité de piratage en amont, essayant d'utiliser des mots de passe connus définis par défaut avec les paramètres d'usine. Il est également recommandé à chacun de s'assurer que les applications mobiles associées à de tels appareils ne disposent pas des autorisations nécessaires qui leur permettraient de collecter nos informations personnelles de manière « sauvage ». De même, il est vivement recommandé de procéder très régulièrement à la mise à jour de tous nos appareils « IoT », en activant celle-ci chaque fois que possible, à des fins évidentes de sécurité. 

Ces conseils d’usage très simples visent pour l’essentiel à aider tout un chacun à créer une défense numérique essentielle autour de nos Smart TV et de nos appareils « IoT ». L’objectif poursuivi étant naturellement de protéger efficacement nos informations personnelles et financières sensibles. Car ne l’oublions pas : celles-ci sont très facilement accessibles par un tiers malveillant, puisque généralement fournies avec une connexion Internet activée par défaut.

Le fait que le FBI s'intéresse à la sécurité des objets connectés marque-t-il un tournant dans la prise de conscience des risques ? Les gouvernements vont-ils s'impliquer plus visiblement dans ces enjeux de sécurisation ?  

Notoriété planétaire oblige, Le FBI a très tôt joué ce rôle dans le contexte américain. Ces recommandations interviennent d’ailleurs, outre-Atlantique, après un flux discontinu de campagnes  d’attaques informatiques malveillantes, ciblant particulièrement les objets connectés (IoT). Des appareils qui ne sont généralement pas bien sécurisés d’origine par les constructeurs ou les industriels. Et très mal paramétrés par leurs acheteurs. Ainsi, ils peuvent être très facilement compromis ou « piratable », par des agresseurs déterminés. Soit pour les ajouter à de grands réseaux de machines dites « zombies », soit pour les utiliser comme « tremplin » à effet rebond, dans le cadre d’attaques informatiques complexes, visant d'autres appareils. 

En France ce sont l’ANSSI et cybermalveillance.gouv.fr qui sont en charge de l’évangélisation en matière de cybers risques. Ces deux institutions remarquables, distillent leurs recommandations auprès des professionnels du secteur et du grand public, à travers des notes de synthèses très pertinentes et aisément consultables sur leurs sites de contacts internet dédiés. De précieux conseils y sont toujours délivrés. Et l’on ne peut que recommander très chaudement à nos lecteurs leur consultation très régulière. Il en va de notre sécurité numérique collective.   

Quelles sont les principales mesures à prendre en considération pour garantir une certaine sécurité de nos vies privées, si l’on utilise des objets connectés ?

Voici ce que recommande en substance cette note du FBI de Portland, afin de créer cette défense numérique « minimale » de protection pour chaque utilisateur d’IoT :

- Modifiez tout d’abord les paramètres d'usine qui configurent l'appareil que vous venez d’acquérir, à partir du mot de passe inclus par défaut dans celui-ci. Une simple recherche sur Internet doit pouvoir vous indiquer comment ceci est concrètement réalisable. Et si vous ne trouvez pas aisément cette information, il alors préférable d’envisager l’achat d’un autre produit de marque concurrente, en remplacement du précédent. Un produit qui mettra lui à disposition cette information cruciale pour votre sécurité. 

- Les nouveaux mots de passe de remplacement que vous aurez choisis doivent être aussi longs et complexes que possible, et dédiés uniquement pour chacun de vos appareils connectés « IoT ».

- De nombreux appareils connectés sont pris en charge par les applications mobiles incluses dans vos smartphones. Ces applications peuvent s'exécuter en arrière-plan, et utiliser ainsi des autorisations par défaut dont vous ne vous êtes jamais rendu compte, mais que vous aviez approuvées sans le savoir : « en dépit de votre plein grè ». Sachez quel type d'informations personnelles ces applications collectent, et dites systématiquement «non» à ces demandes, quand celles-ci n'ont aucun sens.

- Sécurisez votre réseau interne. Votre réfrigérateur et votre ordinateur portable fourni par votre employeur ne doivent pas être inclus sur le même réseau informatique que le reste de vos appareils vitaux. Conservez toutes vos données sensibles les plus privées sur un système distinct de vos autres appareils connectés « IoT ».

- Assurez-vous aussi que tous vos appareils sont mis à jour très régulièrement. Si des mises à jour automatiques sont disponibles pour les logiciels, le matériel et les systèmes d'exploitation que vous utilisez quotidiennement, activez-les sans tarder. Il en va de votre sécurité numérique. 

- Concernant votre téléviseur numérique ou « intelligent », et bien au-delà du risque cependant réel que le fabricant et les développeurs d'applications dédiées vous regardent ou vous écoutent subrepticement à des fins commerciales ou marketings : « cette télévision peut également servir de passerelle pour des pirates informatiques qui ont projeté de rentrer chez vous », prévient le FBI : « un mauvais cyber-acteur peut ne pas être en mesure d'accéder directement à votre ordinateur verrouillé, mais il est possible que votre téléviseur non sécurisé puisse lui donner un moyen facile de se cacher, via une porte numérique dérobée, par l’intermédiaire de votre routeur. » La mise en garde est claire et sans appel !