Benoit Grunemwald, ESET : " La sécurité des objets connectés est un vrai sujet "

- contenu BFM partenaire -

Les objets connectés font désormais partie du quotidien, aussi bien des particuliers que des entreprises. Mais qui dit connecté dit forcément vulnérabilités et usages illicites. Il n’y a pas de raison que l’Internet des Objets (IoT) y fasse exception ! Le point avec Benoît Grunemwald, Directeur des Opérations chez ESET France.

Bonjour Benoît. Les objets connectés ont progressivement investi le quotidien des entreprises et des particuliers. Est-ce que la question de la cybersécurité a immédiatement fait surface avec l’émergence de l’IoT, ou est-elle récente ?

C’est une question qui me fait sourire, car la perception même de l’IoT, que l’on soit particulier ou entreprise, c’est avant tout d’un objet qui s’est banalisé. Quand on a une montre connectée, une balance connectée, ou même une imprimante, on se dit que c’est un objet bienveillant qui sert à améliorer le quotidien, mais à aucun moment on ne voit sa face cachée, et la possibilité qu’il puisse faire autre chose que ce pour quoi il est prévu. Et cette prise de conscience du côté sombre de l’objet connecté est très récente, et même très peu considérée. Pourtant, c’est un vrai sujet.

Qu’est-ce qui, pour vous, a fait que l’on a commencé à se dire que les objets connectés pouvaient être dangereux ?

Malheureusement, c’est l’expérience, qui nous montre que l’on a eu des attaques sur des opérateurs essentiels sur internet, qui étaient notamment des fournisseurs de DNS, et qui se sont fait attaquer en déni de service par des caméras de surveillance. Ces caméras envoyaient massivement des demandes aux opérateurs, ce qui fait qu’ils étaient saturés. Résultat : les demandes légitimes se retrouveraient noyées sous un flot de demandes illégitimes, et on ne pouvait donc pas accéder à internet.

Donc, dans le cas d’une attaque par déni de service (DDoS), des objets connectés peuvent être transformés en objets zombies au même titre qu’un ordinateur ?

C’est exactement ça. Et c’est d’autant plus facile que la sécurité d’un objet connecté est bien souvent moins bien pensée et réfléchie que celle d’un ordinateur. Quand vous achetez une caméra à une trentaine d’euros sur internet, vous allez avoir un produit qui peut être excellent en termes de fonctionnalités. Mais, souvent, le fabricant va faire des économies sur ce qui n’est pas intrinsèquement utile, comme la sécurisation de l’appareil sur le réseau. Vous vous retrouvez donc avec un objet qui remplit bien sa fonction première, mais qui n’a aucun aspect sécurisé. La seule vraie raison, c’est que cela coûte trop cher à concevoir.

Les cybermenaces qui peuvent toucher les objets connectés sont donc les mêmes que celles qui peuvent toucher les systèmes informatiques plus traditionnels ?

Exactement. C’est un transport. On ne va pas les retrouver de la même manière ni sur la même ampleur. Mais les objets connectés sont intéressants à exploiter notamment sur les attaques DDoS, parce qu’ils sont moins sécurisés que les ordinateurs, dont les systèmes d’exploitation se sont perfectionnés en matière de protection.

Dans le domaine de l’entreprise, précisément, quels sont les objets connectés « à risques » ?

Il y a peu de temps, j’ai réalisé la démarche de me promener dans ma propre entreprise, pour m’interroger sur les objets présents. Je me suis questionné sur leurs fonctions connectés, et les menaces potentielles qu’elles représentent.

La première chose, c’est qu’on a des téléviseurs dans beaucoup de salles de réunion. Si la télé est sous Android, c’est de facto potentiellement un problème. Android, de mémoire, en 2017, a enlevé 700 000 applications de son Play Store. Ça fait à peu près 2000 par jour. Et ce sont ces applications qui visent à intercepter des données, à faire des ransomware, ce genre de chose.

La télé est donc une cible. Autre cible que l’on a de façon encore plus courante en entreprise, c’est l’imprimante. Elle est forcément reliée au réseau, si on veut que tout le monde puisse imprimer dessus, et puis surtout, la majorité des imprimantes sont intelligentes, connectées, et elles intègrent des disques durs. Ces disques durs enregistrent des données liées à ce qui est numérisé et imprimé, et ce sont parfois des informations sensibles. Qui sait réellement qui y a accès ? Il y a un risque ici aussi.

Selon vous, la question de la sécurité de l’IoT concerne plutôt les entreprises qui conçoivent les objets connectés, ou les utilisateurs ?

Pour moi, c’est le fabricant, car c’est compliqué de sécuriser un objet, notamment lorsque l’on est un particulier. L’IoT est par défaut un peu volatile, et puis surtout, il est léger. Nous qui sommes fournisseurs de solutions de sécurité, on ne peut pas installer notre solution sur tous les objets connectés, par exemple. Déjà, l’IoT ne le permettrait pas, et notre code n’est pas portable indéfiniment sur toutes les plateformes, ce qui fait qu’on ne pourrait pas être compatible avec tout le monde.

L’entreprise, quant à elle, a plus la capacité de cloisonner ses objets connectés pour moins exposer ses autres utilisateurs du réseau. Mais il est évident que si le secure by design, le privacy by design étaient fait à l’origine par le fabricant, ce serait plus simple, on n’aurait pas à chercher des solutions à ces problèmes. C’est un peu la médecine chinoise : si vous n’êtes pas malade, le médecin a fait son travail, si vous êtes malade, le médecin est déshonoré.

Quels sont les bons réflexes que doivent avoir les entreprises et les particuliers pour se prémunir contre les menaces dans le domaine de l’IoT ?

La première chose, c’est d’avoir une vision concrète. C’est-à-dire que si vous savez que vous avez des objets connectés branchés sur votre réseau, vous allez en prendre la mesure. Pour les particuliers, ESET a une solution qui permet de les afficher : vous avez une interface, et vous allez les voir, et on va les surveiller à votre place. On ne pourra pas les corriger directement, mais on va les surveiller à votre place, et on va vous donner les bonnes pratiques pour que vous puissiez améliorer la sécurité des objets connectés.

L’un des premiers réflexes, c’est de changer le mot de passe par défaut des appareils. Quand on vous livre un objet connecté, il peut être « admin ». Nous, on va vous rappeler qu’il faut changer ce mot de passe.

Et pour les entreprises, il faut segmenter : Il ne faut pas permettre à un téléviseur de discuter avec le réseau téléphonique, comme il ne faut pas lui permettre de discuter avec le serveur qui contient la paie et la RH.

Quelles sont les solutions proposées par ESET dans ce domaine ?

Pour les particuliers et les entreprises, nous avons, comme je l’ai déjà souligné, une solution qui offre une visibilité sur les objets connectés sur les réseaux. On additionne à cela des conseils, qui vont nous permettre d’aider le particulier ou la petite entreprise à se protéger.

Pour les entreprises beaucoup plus grosses, avec des objets connectés de taille supérieure, comme des usines, intégrant des systèmes de vidéoconférence, ou de la production d’énergie, par exemple, on va protéger les systèmes qui sont autour, l’idée est de sécuriser l’ordinateur qui pilote la visioconférence.

Enfin, point important : ce genre de proposition n’est pas une option chez ESET. Elles sont intégrées, de base, à nos offres, car nous les jugeons aujourd’hui aussi essentielles que le reste pour la sécurisation des réseaux.

Merci Benoît !