John Matherty aurait-il créé un monstre, où le monstre habite-t-il déjà chez nous? John Maherty est le créateur de Shodan, le premier moteur de recherche dédié à l’Internet des Objets, ces objets connectés qui envahissent peu à peu notre quotidien.
Chaque mois, Shodan est capable de référencer des centaines de millions de nouveaux objets. A titre indicatif, pour ceux d’entre vous qui doteraient encore de l’ampleur du phénomène, le cabinet IDC prévoit qu’il y aura à l’horizon 2020 quelque 200 milliards d’objets connectés en activité dans le monde. En pratique, les objets connectés ce sont ces traqueurs d’activité que l’on porte au poignet, le moniteur pour bébé dans la chambre d’enfant (nous y reviendrons), un thermostat, un aspirateur…
Sur Shodan, un moteur de recherche sur lequel par ailleurs la navigation n’a rien d’anonyme, on trouve aussi des téléviseurs, des réfrigérateurs, mais aussi des feux de signalisation, des appareils médicaux, ou des usines de traitement des eaux… A partir d’une adresse IP, l’adresse qui identifie une connexion à Internet, le moteur de recherche est capable de dire par exemple combien et quel type d’appareils est connecté au réseau, ainsi que de relever le système d’exploitation (OS) utilisé.
Il y a peu Shodan a ajouté à dessein une nouvelle fonctionnalité, pour faire prendre conscience des risques encourus, et dont l’accès est réservé aux membres payants du service: un flux de photos provenant d’objets connectés mal protégés et donc sujet à d’importantes failles de sécurité.
Mots de passe renforcés
Des photos de chambres d’enfant, de salles de classe, de cuisines ou d’appartements. Effrayant, car ce type de faille de sécurité peut exposer la vie de tout un chacun au tout venant. Un pirate mal intentionné pourra ainsi savoir si vous êtes ou non chez vous à telle heure, ou vous êtes partis en vadrouille chez des amis.
Aux Etats-Unis, la ville de New York a récemment adressé des citations à comparaître à plusieurs fabricants de moniteurs de bébé, suite à une étude réalisée par une société spécialisée Rapid7. En septembre 2014, Rapid7 avait identifié neuf failles de sécurité majeures sur ces appareils. L’idée étant maintenant pour les autorités new yorkaises de vérifier si les failles de sécurité mises au jour ont bien été corrigées.
Mais comment alors se protéger contre les attaques mal intentionnées si l’on utilise (ce qui est fort probable) des objets connectés? En optant pour quelques précautions d’usage et de bon sens.
- Tout d’abord, un objet connecté à Internet (et dont l’activité peut donc potentiellement être visible de presque tous) doit être protégé par un mot de passe (qui ne soit pas un mot de passe générique mais un mot de passe renforcé).
- Ensuite, il est recommandé d’enregistrer son appareil auprès du fabricant pour pouvoir récupérer par la suite très facilement les patchs de sécurité venant corriger telle ou telle faille.
- Enfin, mais l’on ne le fait pas toujours loin s’en faut, penser à éteindre l’appareil concerné, quand l’on ne s’en sert pas.
Plus la technologie avance, plus on est attiré d’acheter toutes les nouveautés qui viennent. Les tablettes, les smartphones et tout ce qui peut se connecter se retrouvent entre nos mains, et ils deviennent les portes d’entrée des pirates sur les banques de données personnelles. Donc pour éviter les attaques donc, il faut varier les mots de passe et surtout penser à tout déconnecter après utilisation.