Les pirates informatiques n'en ont pas qu'après votre ordinateur. Des voitures aux systèmes de sécurité des maisons, en passant par les fusils de précision, l'essor des objets connectés leur offre de nouvelles opportunités d'attaques.
Chaque année, hackers et experts d'agences gouvernementales se réunissent pour discuter des évolutions dans le secteur informatique. Ce dimanche, la conférence Black Hat ouvre ses portes, elle sera suivie du rassemblement de pirates Def Con. "Les objets connectés sont clairement l'une des grandes nouvelles frontières", estime Christopher Kruegel, co-fondateur de la société de cybersécurité Lastline et professeur d'informatique.
Des cibles faciles pour les pirates indépendants
Les attaques de grande ampleur sont généralement l'œuvre de pirates sophistiqués avec beaucoup de ressources et d'argent, parfois soutenus par des gouvernements. Mais l'explosion du nombre d'objets connectés crée des cibles faciles pour des pirates indépendants, motivés par l'appât du gain ou voulant juste s'amuser, selon les chercheurs en informatique.
Les montres, serrures, compteurs électriques ou autres objets connectés présentent aussi le risque de donner accès aux trésors de données collectées par leurs capteurs, qui contrôlent tous les aspects de la vie de leurs propriétaires.
La sécurité n'est pas la priorité pour les fabricants
On peut protéger les objets connectés, mais cela augmente leur coût quand les fabricants préfèreraient maintenir des prix bas. "Etant donné l'insécurité qu'on voit régulièrement, c'est clair que pour la plupart des fabricants, ce n'est pas une priorité", indique à l'AFP Cesar Cerrudo, directeur technologique chez la société de sécurité informatique IOActive.
S'il n'y a pas eu davantage de problèmes jusqu'ici, c'est en grande partie parce que "les types qui peuvent le faire n'y voient pas d'intérêt", en particulier financier, juge M. Kruegel. "Mais quand on aura un gamin qui s'ennuie ou quelqu'un qui aime créer le chaos, on aura un problème", prévient-il.
"C'est une menace réelle, et la sécurité est effroyable"
"L'idée de franchir le fossé entre le cyber-monde et le monde physique est là depuis un moment", note Christopher Kruegel, rappelant les craintes régulières d'attaques contre des réseaux électriques, des usines de traitement d'eau ou d'autres infrastructures. "Maintenant ces présentations montrent que c'est une menace réelle. Tous ces appareils sont là et à portée de main, et la sécurité est effroyable".
Ils prennent le contrôle d'un 4x4 et l'arrêtent à distance
Une menace d'autant plus réelle que, semaine après semaine, les exemples de piratages d'objets se multiplient. Une présentation prévue à Las Vegas est par exemple consacrée à la manière de reprogrammer des fusils de précision pour en changer la cible. Une autre devrait revenir sur le piratage ayant poussé récemment le constructeur automobile Fiat Chrysler à rappeler 1,4 million de véhicules aux Etats-Unis.
Des chercheurs en cybersécurité, Charlie Miller et Chris Valasek, ont affirmé avoir pris le contrôle d'une de ses Jeep Cherokee par l'intermédiaire du système électronique de divertissement embarqué. Le conducteur, un journaliste du site spécialisé Wired, a décrit comment il avait vu la radio du véhicule commencer à fonctionner toute seule, les essuie-glaces se déclencher, le moteur ralentir puis se couper, ou la commande des freins disparaître.
Les deux chercheurs ont promis des détails à Las Vegas. "Nous montrerons la réalité du piratage des voitures en faisant la démonstration exacte de la manière dont une attaque à distance fonctionne contre un véhicule inaltéré et sortant d'usine", ont-ils annoncé.
"On n'a pas encore vu d'avion tomber…"
Raj Samani, vice-président chargé de la sécurité chez le fabricant de semi-conducteurs Intel, se souvient d'une ancienne démonstration sur le piratage d'un système d'accélération de voitures. L'une d'entre elle était rentrée dans un mur.
"On n'a pas encore vu d'avion tomber ou de voitures quitter la route, pour autant que nous sachions, mais ce sont les problèmes auxquels nous sommes confrontés", dit-il à l'AFP. Pour lui, "Stuxnet aurait dû créer une prise de conscience".
Vos commentaires