Après les ordinateurs, c’est au tour des smartphones et des objets connectés de se faire hacker. On compte 5 milliards de smartphones actuellement en circulation dans le monde et 15 milliards d’objets connectés. De quoi offrir de nombreuses nouvelles cibles plus ou moins vulnérables aux pirates.
« Notre smartphone est un mouchard, il sait tout de nous : nos passions, nos trajets, nos informations bancaires, etc. Savoir les lieux que vous fréquentez habituellement ou les appels que vous passez peut se révéler intéressant pour certains hackers dans le cadre d’opérations de social engineering » explique Renato Febbraro, directeur sécurité IOT et systèmes industriels chez Akerva. « Les objets connectés sont des cibles privilégiées des hackers car d’une part ils processent des données qui peuvent se révéler intéressantes et d’autre part ils peuvent être utilisés pour réaliser des attaques par déni de service distribué (DDoS), en constituant un réseau de systèmes détournés, que l’on appelle botnet. Cette attaque vise à rendre un service informatique indisponible pour ses utilisateurs légitimes » ajoute l’expert.
Les fabricants d’objets connectés ne sont tenus par aucune obligation concernant la sécurité de leurs produits. « Nous sommes dans une période où chacun veut sortir son application avant ses concurrents. Résultat ? Tout va vite et la sécurité passe souvent à la trappe » explique Renato Febbraro. Les entreprises semblent pourtant aujourd’hui avoir pris conscience des risques qu’elles encourent, idem en B2C.
Des systèmes ou des environnements complexes qui impliquent des failles
Sébastien Neumann est ingénieur sécurité et responsable de l’équipe qui réalise les tests d’intrusion chez ITrust. Il explique que le smartphone est constitué d’un système complexe doté de nombreux mécanismes, ce qui constitue un terrain fertile pour les failles et les vulnérabilités. Les objets connectés, eux, sont moins complexes mais tout aussi fragiles de par leur environnement qui, lui, est complexe.
« Il faut sécuriser le serveur, mais aussi l’application mobile, le moyen de communication et l’objet en lui-même. Pour moi, la sécurité doit être faite bydesign, autrement dit dès la phase de conception. Malheureusement, les fabricants n’ont aucune obligation ».
Pour Sébastien Neumann, outre le fait de sensibiliser les entreprises et les utilisateurs aux bonnes pratiques, il faudrait mettre en place des normes et des standards à imposer aux fabricants, pour régulariser la sécurité des objets connectés mis sur le marché.
« Cela paraît moins important à mettre en place que pour l’alimentation par exemple parce qu’on a l’impression d’une distance entre l’objet et l’humain. Pourtant, les conséquences peuvent être tout aussi désastreuses dans le cas du piratage d’un pacemaker ou d’équipements industriels dans une centrale nucléaire par exemple » prévient l’ingénieur.
Et si les pirates attaquaient des technologies implantées dans notre cerveau ?
D’ici cinq ans, les scientifiques s’attendent à pouvoir utiliser une technologie semblable aux neuro-stimulateurs pour enregistrer électroniquement le signal cérébral qui construit les souvenirs et ensuite les améliorer ou les réécrire avant de les remettre dans le cerveau. Ces implants de mémoire peuvent être utilisés dans les soins de santé pour traiter la perte de mémoire comme une condition médicale.
Les recherches sur la technologie existante ont révélé un certain nombre de scénarios de risques existants et potentiels, dont chacun pourrait être exploité par des attaquants. Les chercheurs ont découvert une vulnérabilité grave et plusieurs erreurs de configuration inquiétantes dans une plate-forme de gestion en ligne très appréciée des équipes chirurgicales qui pourraient conduire un attaquant à des données sensibles et à des procédures de traitement.
« Nous prédisons qu’au cours des prochaines décennies, les menaces potentielles pour la mémoire humaine pourraient inclure la manipulation massive de groupes par le biais de souvenirs implantés ou effacés d’événements politiques ou de conflits ; tandis que les cyber-menaces » réaffectées » pourraient viser de nouvelles possibilités de cyber-espionnage ou le vol, la suppression ou le » verrouillage » des souvenirs (par exemple en échange d’une rançon) » prévient Dmitry Galov, chercheur en sécurité au GReAT de Kaspersky Lab.