Les pirates informatiques n'en ont pas qu'après votre ordinateur. Des voitures aux systèmes de sécurité des maisons, en passant par les fusils de précision, l'essor des objets connectés leur offre de nouvelles opportunités d'attaques.
C'était en tout cas la thématique centrale de la dernière conférence Black Hat sur la sécurité informatique à Las Vegas, et du rassemblement de pirates Def Con qui suivra.
«Les objets connectés sont clairement l'une des grandes nouvelles frontières», estime Christopher Kruegel, cofondateur de la société de cybersécurité Lastline et professeur d'informatique dans une université de Californie.
Une présentation à Las Vegas a été par exemple consacrée à la manière de reprogrammer des fusils de précision pour en changer la cible. Une autre est revenue sur le piratage ayant poussé récemment le constructeur automobile Fiat Chrysler à rappeler 1,4 million de véhicules aux États-Unis. Des chercheurs en cybersécurité, Charlie Miller et Chris Valasek, ont affirmé avoir pris le contrôle d'une de ses Jeep Cherokee par l'intermédiaire du système électronique de divertissement embarqué. Le conducteur, un journaliste du site spécialisé Wired, a décrit comment il avait vu la radio du véhicule commencer à fonctionner toute seule, les essuie-glace se déclencher, le moteur ralentir puis se couper, ou la commande des freins disparaître.
Menace réelle
Raj Samani, vice-président chargé de la sécurité chez le fabricant de semi-conducteurs Intel, se souvient d'une ancienne démonstration sur le piratage d'un système d'accélération de voitures. L'une d'entre elles était rentrée dans un mur.
«On n'a pas encore vu d'avion tomber ou de voitures quitter la route pour autant que nous sachions, mais ce sont les problèmes auxquels nous sommes confrontés», dit-il à l'AFP. Pour lui, «Stuxnet aurait dû créer une prise de conscience».
Stuxnet est un virus informatique impliqué en 2010 dans une série d'attaques informatiques en Iran, visant essentiellement le programme nucléaire. Beaucoup d'observateurs avaient soupçonné une implication du gouvernement américain et une tentative de sabotage des centrales pour faire dérailler les efforts de Téhéran pour se doter de la bombe atomique.
«L'idée de franchir le fossé entre le cybermonde et le monde physique est là depuis un moment», note Christopher Kruegel, rappelant les craintes régulières d'attaques contre des réseaux électriques, des usines de traitement d'eau ou d'autres infrastructures. «Maintenant, ces présentations montrent que c'est une menace réelle. Tous ces appareils sont là et à portée de main, et la sécurité est effroyable.»
Les attaques comme Stuxnet sont généralement l'œuvre de pirates sophistiqués avec beaucoup de ressources et d'argent, soutenus par des gouvernements. Mais l'explosion du nombre d'objets connectés crée des cibles faciles pour des pirates indépendants, motivés par l'appât du gain ou voulant juste s'amuser, selon les chercheurs en informatique.
Les montres, serrures, compteurs électriques ou autres objets connectés présentent aussi le risque de donner accès aux trésors de données collectées par leurs capteurs, qui contrôlent tous les aspects de la vie de leurs propriétaires.
On peut protéger les objets connectés, mais cela augmente leur coût quand les fabricants préféreraient maintenir des prix bas. « Étant donné l'insécurité qu'on voit régulièrement, c'est clair que pour la plupart des fabricants ce n'est pas une priorité », indique à l'AFP Cesar Cerrudo, directeur technologique chez la société de sécurité informatique IOActive.
S'il n'y a pas eu davantage de problèmes jusqu'ici, c'est en grande partie parce que «les types qui peuvent le faire n'y voient pas d'intérêt », en particulier financier, juge M. Kruegel. «Mais quand on aura un gamin qui s'ennuie ou quelqu'un qui aime créer le chaos, on aura un problème », prévient-il.
commentaires (0)
Commenter