Les appareils IoT sont souvent déficients en matière de sécurité. Une réglementation plus stricte est nécessaire pour mieux protéger les consommateurs contre les produits non sécurisés.
De plus en plus de produits du quotidien tels que les montres, les caméras ou les sonnettes sont déclinés en versions intelligentes. Ces produits numériques sont connectés à Internet et forment ainsi un réseau entièrement nouveau, également appelé The Internet of Things (IoT). Les appareils intelligents prolifèrent rapidement, mais sont souvent à la traîne en matière de sécurité.
Pieter-Paulus Vertongen, PDG d’Aaltra, et Erik Van Buggenhout, co-fondateur de NVISO, mettent en garde contre la prolifération d’appareils bon marché et mal sécurisés sans ‘security by design’. Ils soulignent l’importance d’une réglementation européenne visant à protéger les consommateurs contre les produits non sécurisés.
Des douches aux pneus automobiles
The Internet of Things (IoT) est un concept large. Vertongen décrit l’IoT comme « tous les produits connectés à Internet ». On pense d’abord aux appareils intelligents tels que les montres, les caméras ou les sonnettes, mais l’IoT apparaît dans les produits les plus inattendus. « Il existe des douches intelligentes, des fours, mais aussi des pneus automobiles équipés de puces connectées à Internet », affirme Van Buggenhout.
La sécurité est à la traîne
Bien que beaucoup de ces produits intelligents soient conçus pour simplifier notre vie, nous ne réfléchissons souvent pas à leur contexte numérique. « L’IoT est en retard par rapport à ce que l’on observe généralement dans la sécurité de l’infrastructure informatique », commence Vertongen. Selon lui, cela est dû aux coûts d’investissement élevés pour sécuriser les produits IoT.
De plus, ces appareils disposent d’un matériel limité. « Si l’on veut y exécuter des protocoles de sécurité, ceux-ci doivent également être suffisamment robustes », affirme Vertongen.
Le piratage des années 90
En raison de l’absence fréquente de sécurité dans les produits numériques, ils constituent une cible facile pour les cyberattaques. « Les vulnérabilités de ces produits numériques sont généralement élémentaires. On pourrait les comparer à l’utilisation de mots de passe simples, tels que « admin-admin »« , explique Van Buggenhout. « Ces systèmes sont déployés à grande échelle dans des botnets. » Il en résulte, par exemple, des attaques DDoS ou la propagation de logiciels malveillants. »
L’IoT en est encore à l’ère pré-RGPD.
Pieter-Paulus Vertongen, PDG d’Aaltra
De plus, les appareils IoT collectent en permanence des données telles que la localisation, la température ou les heures de présence. « Les utilisateurs ne savent souvent pas quelles données exactes sont collectées et où elles aboutissent », déclare Vertongen. « Selon la législation RGPD, il faut clairement indiquer ce qu’il advient de vos données. » « Avec l’IoT, nous sommes clairement encore à l’ère pré-RGPD. »
lire aussi
De nombreuses entreprises ne mettent pas régulièrement à jour la formation sur la protection de la vie privée
Une voiture sans freins
Vertongen et Van Buggenhout plaident tous deux pour une approche security by design. « Il est trop complexe et souvent coûteux d’intégrer la sécurité après coup. » Van Buggenhout illustre cela par une analogie. « Je le compare à une voiture. Une voiture a des freins, non pas pour vous faire rouler plus lentement, mais pour que vous ayez le courage de rouler plus vite. »
« Si vous êtes dans une voiture sans freins, vous n’allez pas rouler vite. Donc, pour exploiter pleinement la voiture, vous avez besoin de bons freins. Lorsque vous avez une voiture avec un moteur puissant mais pas encore de freins, vous arrivez peut-être à la conclusion que vous avez besoin de freins pour rouler vite. Pouvez-vous encore les intégrer dans la voiture ? Probablement, mais ce n’est pas simple et cela coûte en plus beaucoup d’argent. »
Prolifération de puces
De nombreux produits IoT sur le marché ne répondent pas aux exigences de cybersécurité, principalement parce qu’ils doivent être bon marché et fonctionnels, sans que l’attention ne soit portée sur le security by design pendant le développement. Selon Van Buggenhout, cela conduit à une prolifération d’appareils mal sécurisés, où des puces sont intégrées dans diverses applications sans sécurité adéquate. La facilité de production ne fait qu’aggraver ce problème.
Un pigeon pour le chat
Pour protéger les consommateurs contre les produits non sécurisés, un règlement européen a été introduit imposant des exigences minimales aux fabricants. « Le Cyber Resilience Act vise à empêcher la mise sur le marché de produits IoT non sécurisés ou rapidement assemblés », affirme Vertongen.
Les entreprises qui commercialisent des produits sans possibilité de mise à jour à distance sont des proies faciles.
Pieter-Paulus Vertongen, PDG d’Aaltra
« Les entreprises qui commercialisent leurs produits sans possibilité de mise à jour à distance sont des proies faciles. » Sans mises à jour, les appareils peuvent en effet constituer un risque permanent dès leur mise en service.
Label de sécurité
Aux États-Unis, on va encore plus loin pour sensibiliser les consommateurs. Le Cybersecurity Trust Mark est une initiative américaine visant à offrir plus de transparence aux consommateurs et aux entreprises concernant la sécurité des produits numériques. « On pourrait comparer ce label à un certificat de performance énergétique ou à un label énergétique, mais pour la cybersécurité », explique Vertongen. Actuellement, ce label n’est pas encore implémenté en Europe ni en Belgique, mais Vertongen et Buggenhout sont déjà convaincus de sa valeur ajoutée.
« Les consommateurs achètent souvent des produits informatiques vulnérables sans le savoir, car ils ne peuvent pas évaluer les risques », déclare Vertongen. De plus, un label universel assurerait une concurrence loyale. « Les entreprises qui investissent davantage dans la sécurité seraient ainsi récompensées. »
« Il est regrettable qu’aujourd’hui, les clients ne soient pas suffisamment informés de la sécurité d’un produit », explique Buggenhout. « Je suis convaincu que les consommateurs sont prêts à payer plus cher pour un produit dont ils savent qu’il est sécurisé.“” Actuellement, ils sont insuffisamment informés. »