L'Internet des objets (IoT) est régulièrement pointé du doigt pour sa sécurité résolument faible. À l'occasion du salon IT Partners, tenu à Disneyland Paris, Clubic est allé à la rencontre de Bitdefender, qui dispose d'une équipe dédiée à la découverte de failles dans le secteur des objets connectés, pour faire un état de menace et recevoir quelques bons conseils.

Le monde des objets connectés, ou Internet des objets (IoT), est depuis plusieurs années réputé comme étant un univers rempli de vulnérabilités dont les pirates informatiques se nourrissent presque par gourmandise. Bitdefender nous apprend qu'aujourd'hui, l'IoT est aussi bien négligé par les fabricants que par les utilisateurs, qui sous-estiment les capacités de nuisance d'outils au départ anodins, comme une sonnette, une ampoule ou une serrure connectée, qui peuvent chacune se transformer en cauchemar pour l'utilisateur.

Pour en parler, nous avons rencontré, sur le salon IT Partners, le responsable produits grand public chez Bitdefender, Gauthier Vathaire.

Gauthier Vathaire - Bitdefender (© Alexandre Boero pour Clubic)
Gauthier Vathaire - Bitdefender (© Alexandre Boero pour Clubic)

L'interview « sécurité des objets connectés », avec Gauthier Vathaire, de Bitdefender

Clubic : Est-ce que l'IoT demeure toujours une passoire en termes de sécurité informatique en 2021, ou voit-on poindre des améliorations ?

Gauthier Vathaire : Concernant la sécurité IoT, il y a toujours de gros problèmes de sécurité relevés en 2021. Bitdefender a investi dans la recherche de sécurité IoT et dispose d'une équipe dédiée qui découvre régulièrement des failles de sécurité. Il n'y a que 10 % des fabricants qui relèvent les failles détectées dans leurs objets pour pouvoir les corriger. Nous avons beaucoup de difficultés à joindre les personnes qui sont en charge de la sécurité chez ces marques.

« En 2021, il y a toujours de gros problèmes de sécurité relevés dans l'IoT »

Des investissements sont nécessaires. Le 15 septembre dernier, très récemment donc, l'Union européenne a appelé à améliorer la sécurité des objets connectés, qui pose un réel problème. L'assureur Axa appelle, lui, le gouvernement à créer des fonds et des alliances entre le secteur privé et le secteur public pour pouvoir palier à des possibles risques systémiques liés à l'IoT et à la sécurité.

Pour rebondir sur ce que vous venez de dire Gauthier, qu'est-ce qui fait justement qu'il y a si peu de fabricants, de constructeurs qui prennent conscience des failles et vulnérabilités vis-à-vis du monde de l'IoT ?

Il va y avoir des vulnérabilités présentes dans les objets connectés. Elles peuvent être très compliquées à corriger si, en amont, on n'a pas conçu le produit avec un mindset, une envie et un besoin de sécuriser l'objet, avec des mises à jour automatiques ou sans interaction avec l'utilisateur. Corriger des vulnérabilités présentes dans l'appareil va alors, pour une entreprise, devenir un problème. Et quand bien même si ces systèmes sont en place, il faut que l'entreprise ait investi énormément en termes de sécurité, car la cybersécurité est un travail continu. On découvre chaque jour des vulnérabilités présentes dans des protocoles. Il faut pouvoir mettre à jour ces protocoles et la façon dont l'appareil communique avec le serveur. Il y a aussi les serveurs d'ailleurs, qui sont là pour récupérer les données des utilisateurs pour pouvoir y accéder à distance. Tout cela demande un gros travail pour les entreprises.

« On a tendance à penser qu'une ampoulée connectée est inoffensive. Mais en réalité, Il existe un risque qu'elle devienne une porte dérobée. »

En plus de ce travail interne à accomplir, il y a une démarche à effectuer auprès des utilisateurs, qui n'ont par exemple par le réflexe d'appliquer les mises à jour lorsque celles-ci ne sont pas automatiques.

Effectivement. On parle toujours d'obsolescence, que les mises à jour ralentissent l'appareil etc. Non, il faut en réalité rappeler que les mises à jour sont là pour combler des problèmes trouvés, des vulnérabilités qui ont été détectées. Cela concerne tout particulièrement les objets connectés, et c'est tout le problème. On a tendance à penser qu'une ampoule connectée reste une ampoule et que c'est sans risque, sauf qu'elle est connectée à votre réseau, aux appareils de votre foyer. Il existe ainsi le risque que cette ampoule connectée, qui a priori ne pose aucun danger, devienne une porte dérobée pour accéder à vos autres appareils, sur votre réseau.

© geralt / Pixabay
© geralt / Pixabay

Imaginons que l'on souhaite équiper son appartement, voire sa grande maison de 200 m² en objets connectés, d'y incruster de la domotique partout, vraiment partout. Qu'est-ce que vous nous proposez et nous conseillez pour assurer une vraie défense, dans le cas où on est, par exemple, un parfait débutant en matière de cybersécurité ?

Avec la pandémie, beaucoup de choses ont changé. On cherche désormais à améliorer notre confort à domicile, donc on investit dans la domotique et les objets connectés. Pour pouvoir sécuriser ces appareils-là, il faut d'abord sécuriser son réseau. Aujourd'hui, de nombreuses utilisateurs laissent encore leur box Internet sur des niveaux de chiffrement qui ne sont pas suffisants. Souvent, par défaut, les gens laissent le WPA, dans lequel il y a des vulnérabilités. On peut déjà améliorer le niveau de chiffrement de sa box, changer le mot de passe de cette dernière et s'équiper, ensuite, de solutions de sécurité dédiées.

De notre côté, nous avons développé la Bitdefender Box, qui vient sécuriser tous les objets connectés au sein du foyer. Il existe aussi un autre produit, comme Netgear Armor, qui sécurise, via les routeurs Netgear, le réseau et les objets connectés.

« De nombreuses personnes laissent encore leur box internet sur des niveaux de chiffrement insuffisamment sécurisés. »

La Bitdefender Box est accessible au prix public de 199 euros. En abonnement annuel, elle coûte 99 euros par an, après la première année. L'abonnement comprend un nombre illimité d'appareils, qu'il s'agisse d'objets connectés ou d'appareils Windows, Android, iOS sur lesquels nous avons une solution antivirus incluse.

Quelle est l'une des vulnérabilités qui a pu vous marquer dernièrement ?

Pour rester dans le thème de l'IoT, je peux vous parler de l'une des dernières recherches de Bitdefender, qui portait sur un babyphone de la marque Victure. Nous avions trouvé des vulnérabilités, qui n'étaient pas sur l'appareil mais dans la structure Cloud, à partir de laquelle les hackers peuvent retrouver, à partir des protocoles MQTT (Message Queuing Telemetry Transport), les identifiants des utilisateurs avec lesquels ils peuvent récupérer le flux vidéo. Or, avec ce flux vidéo, on peut espionner n'importe quel utilisateur de ces appareils.

Bitedefender fête ses 20 ans, et on imagine que pour les années qui arrivent, il y aura encore pas mal de travail de votre côté...

Exactement, on n'a pas fini de sortir de nouvelles solutions et d'innover. Bitdefender est présent depuis 20 ans maintenant sur le marché de l'antivirus. C'est une belle aventure avec nos partenaires et nos utilisateurs. Nous sommes ravis de continuer ce beau métier qui est de sécuriser Internet.