Les objets connectés, une nouvelle proie pour les cyberpirates

02/08/15 à 09:13 - Mise à jour à 09:13

Les pirates informatiques n'en ont pas qu'après votre ordinateur. Des voitures aux systèmes de sécurité des maisons, en passant par les fusils de précision, l'essor des objets connectés leur offre de nouvelles opportunités d'attaques.

Les objets connectés, une nouvelle proie pour les cyberpirates

© iStock

Cela s'annonce comme une thématique centrale de la conférence Black Hat sur la sécurité informatique, qui démarre dimanche à Las Vegas, et du rassemblement de pirates Def Con qui suivra.

"Les objets connectés sont clairement l'une des grandes nouvelles frontières", estime Christopher Kruegel, co-fondateur de la société de cybersécurité Lastline et professeur d'informatique dans une université de Californie.

Une présentation prévue à Las Vegas est par exemple consacrée à la manière de reprogrammer des fusils de précision pour en changer la cible.

Une autre devrait revenir sur le piratage ayant poussé récemment le constructeur automobile Fiat Chrysler à rappeler 1,4 million de véhicules aux Etats-Unis.

Des chercheurs en cybersécurité, Charlie Miller et Chris Valasek, ont affirmé avoir pris le contrôle d'une de ses Jeep Cherokee par l'intermédiaire du système électronique de divertissement embarqué.

Le conducteur, un journaliste du site spécialisé Wired, a décrit comment il avait vu la radio du véhicule commencer à fonctionner toute seule, les essuie-glaces se déclencher, le moteur ralentir puis se couper, ou la commande des freins disparaître.

Les deux chercheurs ont promis des détails à Las Vegas. "Nous montrerons la réalité du piratage des voitures en faisant la démonstration exacte de la manière dont une attaque à distance fonctionne contre un véhicule inaltéré et sortant d'usine", ont-ils annoncé.

Menace réelle

Raj Samani, vice-président chargé de la sécurité chez le fabricant de semi-conducteurs Intel, se souvient d'une ancienne démonstration sur le piratage d'un système d'accélération de voitures. L'une d'entre elle était rentrée dans un mur.

"On n'a pas encore vu d'avion tomber ou de voitures quitter la route, pour autant que nous sachions, mais ce sont les problèmes auxquels nous sommes confrontés", dit-il à l'AFP. Pour lui, "Stuxnet aurait dû créer une prise de conscience".

Stuxnet est un virus informatique impliqué en 2010 dans une série d'attaques informatiques en Iran, visant essentiellement le programme nucléaire. Beaucoup d'observateurs avaient soupçonné une implication du gouvernement américain et une tentative de sabotage des centrales pour faire dérailler les efforts de Téhéran pour se doter de la bombe atomique.

"L'idée de franchir le fossé entre le cyber-monde et le monde physique est là depuis un moment", note Christopher Kruegel, rappelant les craintes régulières d'attaques contre des réseaux électriques, des usines de traitement d'eau ou d'autres infrastructures.

"Maintenant ces présentations montrent que c'est une menace réelle. Tous ces appareils sont là et à portée de main, et la sécurité est effroyable".

Les attaques comme Stuxnet sont généralement l'oeuvre de pirates sophistiqués avec beaucoup de ressources et d'argent, soutenus par des gouvernements. Mais l'explosion du nombre d'objets connectés crée des cibles faciles pour des pirates indépendants, motivés par l'appât du gain ou voulant juste s'amuser, selon les chercheurs en informatique.

Les montres, serrures, compteurs électriques ou autres objets connectés présentent aussi le risque de donner accès aux trésors de données collectées par leurs capteurs, qui contrôlent tous les aspects de la vie de leurs propriétaires.

On peut protéger les objets connectés, mais cela augmente leur coût quand les fabricants préfèreraient maintenir des prix bas. "Etant donné l'insécurité qu'on voit régulièrement, c'est clair que pour la plupart des fabricants, ce n'est pas une priorité", indique à l'AFP Cesar Cerrudo, directeur technologique chez la société de sécurité informatique IOActive.

S'il n'y a pas eu davantage de problèmes jusqu'ici, c'est en grande partie parce que "les types qui peuvent le faire n'y voient pas d'intérêt", en particulier financier, juge M. Kruegel. "Mais quand on aura un gamin qui s'ennuie ou quelqu'un qui aime créer le chaos, on aura un problème", prévient-il.

Avec l'Afp

Nos partenaires