La domotisation des espaces résidentiels ou d’activité professionnelle a de nombreux avantages en termes d’automatisation, de gestion énergétique ou de sécurité mais les équipements communicants sur lesquels reposent ces fonctionnalités peuvent aussi présenter des vulnérabilités.
Les capteurs de toutes sortes, les sources d‘éclairage pilotées, les caméras de vidéosurveillance et même les écrans sont autant d’objets électroniques connectés en permanence à Internet que ce soit dans la maison, l’appartement, ou les locaux commerciaux ou d’activité. Mais ces appareils, pourtant bien pratiques, doivent susciter la vigilance de leurs utilisateurs.
L’actualité fait en effet état régulièrement d’évènements inquiétants comme le piratage de systèmes informatiques d’hôpitaux ou d’entreprises qui engendrent de graves préjudices par vol ou séquestration de données par cryptage. Plus insidieuse, la prise de contrôle d’équipements ou d’objets connectés peut elle aussi s’avérer très dommageable.
Que faire lorsque les particuliers comme les responsables de petites entreprises n’ont souvent pas les compétences pour sécuriser correctement leurs installations. Car, malgré toutes ses perversions, Internet est un outil indispensable au quotidien et la domotique communicante comme l’informatique exposent donc à des risques de cyberattaques de plus en plus élevés contre lesquels il faut savoir se prémunir.
La box internet
Dans les configurations informatiques de base, résidentielles ou professionnelles, le point d’accès à Internet est la box de l’opérateur qui délivre le flux IP. Cet appareil, propriété du fournisseur de services, assure la liaison avec les installations du fournisseur d’accès qui sont elles-mêmes en connexion directe avec l’Internet public. Les box sont plus ou moins sophistiquées selon leur positionnement dans la hiérarchie des offres commerciales, parfois déclinées en modèles professionnels pour répondre aux besoins des TPE et des PME, mais toutes embarquent les mêmes fonctionnalités de base.
Elément primordial, le modem, contraction de modulateur–démodulateur, assure la transmission dans les deux sens du signal porteur des données entre le réseau local et le réseau longue distance via une paire téléphonique sous DSL ou une fibre optique. Vient ensuite le routeur dont la tâche principale est de « tracer la route » des paquets de données dans et entre les réseaux. Le switch ou commutateur relie quant à lui plusieurs segments du réseau local par câbles Ethernet et collabore avec le routeur pour orienter les données vers leur destination. Associé au précédent, le point d’accès Wi-Fi joue le même rôle pour les communications radio.
Pour orchestrer l’ensemble, une carte mère, généralement sous système d’exploitation Linux, active plusieurs fonctions et fait tourner plusieurs serveurs, Web, DHCP, VoIP. Ces différents éléments qui collaborent intimement sont pour certains paramétrables, ce qui suppose de se connecter sur l’interface d’administration.
Paramétrage
Les modalités de paramétrage des box internet varient selon les fournisseurs d’accès de même que l’amplitude des réglages. Peu d’utilisateurs s’aventurent à ce niveau d’administration dont la nécessité n’est pas quotidienne mais qui est cependant nécessaire pour modifier le mot de passe, créer un réseau secondaire Wi-Fi ou un VPN ou encore activer le pare-feu.
Ce dernier point est assez important car il désigne l’une des barrières sécuritaires incluse dans toute box internet. Le pare-feu protège en effet le réseau local contre les attaques extérieures, empêche les pertes de données et autres manœuvres malveillantes. Il peut aussi faire du filtrage sortant et empêcher de connexions vers l’extérieur lancées par des programmes. Des réglages sont possibles via l’interface d’administration des box, en fonction des possibilités offertes par les fournisseurs d’accès, l’exercice nécessitant quand même une certaine maîtrise du sujet.
Il faut aussi noter que les routeurs indépendants, généralement Wi-Fi, qui sont parfois utilisés en complément du routeur de la box, si celui-ci est jugé limité en performance, disposent aussi d’une fonction pare-feu ce qui peut éventuellement provoquer des conflits si l’on ne prend pas les mesures nécessaires (arrêt du Wi-Fi de la box).
Pare-feu spécialisé
Vu la sensibilité du sujet, il n’est pas surprenant que certains éditeurs de solutions de sécurité aient estimé nécessaire de proposer des boîtiers pare-feu complémentaires pour mieux protéger les objets connectés. Sans surprise, ces entreprises n’hésitent pas à reproduire leur modèle économique par abonnement sachant qu’il est quand même justifié par leur veille active qui leur permet de maintenir à jour leurs solutions.
C’est le cas par exemple de Bitdefender qui a développé une première Box, lancée en 2017. Celle-ci a été assez critiquée par la presse spécialisée pour ses bugs, son filtrage trop basique, son mode d’analyse de vulnérabilités peu convaincant et son interface d’administration trop compliquée. La deuxième version a été grandement améliorée mais finalement sa commercialisation a été arrêtée, l’éditeur roumain privilégiant d’une part son offre purement logicielle et une collaboration avec l’équipementier Netgear qui propose sa suite de sécurité incluse dans ses points d’accès Wi-Fi Orbi Mesh et ses routeurs Nighthawk.
Le routeur Firewall Sense de F-Secure.
L’idée a aussi été reprise par F-Secure, avec Sense, un routeur Wi-Fi sécurisé qui est conçu pour protéger tous les appareils du domicile contre les menaces en ligne. De même Symantec a proposé Norton Core sous forme de curieuse boule à facettes. Enfin, on notera la gamme Firewalla dont les produits sont annoncés comme de puissants pare-feux protégeant aussi bien les objets connectés de la maison que les environnements IoT des SME/TPE, avec en prime, un VPN gratuit.
Le sujet de la sécurité informatique en général et de tous les objets connectés, domotiques, bureautiques, équipements de santé, etc. est une préoccupation majeure au vu des enjeux de toutes sortes, financiers comme vitaux. Les propositions des solutions existent mais elles sont loin d’être à la portée de tous les utilisateurs non spécialistes. Pour relever le défi, il faut que tous les acteurs impliqués fassent l’effort de rendre l’administration des paramètres de sécurité plus accessibles, avec des interfaces graphiques claires et pratiques d’autant que les mesures de protection augmentent tant chez les fabricants d’ordinateurs – Apple tient la corde en la matière – comme chez les opérateurs de plateforme tel Google, qui systématisent la double authentification. Du travail en perspective.
POUR ALLER PLUS LOIN
>Quelques sites à consulter
Iot Inspector : https://inspector.engineering.nyu.edu/
Un site conçu par des chercheurs universitaires américains qui propose une application de bureau open source permettant de visualiser l’activité des appareils IoT domestiques et d’identifier les violations potentielles de la sécurité et de la confidentialité.
IoT Security Foundation : https://www.iotsecurityfoundation.org/
La mission de la fondation est d’aider à sécuriser l’Internet des objets et à rendre la connexion sécurisée. Elle aide à l’adoption de solutions IoT sécurisées, influence l’orientation et la portée de toute future réglementation et vise à augmenter la capacité et les niveaux d’expertise en sécurité dans tout le secteur de l’IoT.
Red Alert Labs : https://www.redalertlabs.fr/
Red Alert Labs est un fournisseur de sécurité IoT qui fournit commercialement une aide à la conception, à la gestion des risques, du conseil, de l’audit et de la certification en s’appuyant sur une plateforme logicielle et un laboratoire spécialisé et indépendant.
The European Cyber Security Organization (ECSO) : https://ecs-org.eu/
Organisation européenne intersectorielle contribuant au développement des communautés de cybersécurité et à la construction de l’écosystème européen de la cybersécurité. L’ECSO fédère le secteur public et privé européen de la cybersécurité, y compris les grandes entreprises, les PME et les start-up, les centres de recherche, les universités, les utilisateurs finaux et les opérateurs de services essentiels, les clusters et les associations, ainsi que les administrations publiques locales, régionales et nationales à travers les États membres de l’Union Européenne, l’Association européenne de libre-échange (AELE) et les pays associés au programme H2020.
Cybermalveillance : cybermalveillance.gouv.fr
Programme de sensibilisation du gouvernement assurant la prévention et l’accompagnement à la sécurité numérique auprès de la population française. A pour mission d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les menaces numériques et les moyens de s’en protéger.
A télécharger
Guide de l’Opérateur Local de Services Numériques : https://www.anitec.fr/guide-olsn/
Guides sur la sécurité des IoT / IoT Security Foundation : https://www.iotsecurityfoundation.org/best-practice-guidelines/
