Ils sont de plus en plus nombreux au fur et à mesure des années. Qu’ils soient caméras, imprimantes, serveurs multimédia, relais sans fil, box des fournisseurs d’accès, systèmes domotiques ou même industriels, les objets connectés à internet ne sont pourtant pas sans danger. La Gazette a mené l’enquête en vallée de Seine, et découvert que nombre d’entre eux n’étaient pas du tout ou très peu sécurisés.
Ces objets numériques un peu trop accessibles peuvent permettre à des pirates d’y installer des logiciels malicieux. Le mois dernier, des centaines de milliers de caméras connectées ont ainsi été utilisées pour rendre temporairement inaccessibles de grands noms du web comme Twitter, Spotify ou encore Netflix.
Plus près de nous, ils peuvent également donner accès à une partie de votre vie privée ou de votre réseau d’entreprise. Les images visibles dans ce dossier sont ainsi toutes issues de caméras d’habitants ou de sociétés de la vallée de Seine yvelinoise. Elles étaient soit non protégées, soit protégées avec les identifiants par défaut.
Nous avons utilisé le moteur de recherche Shodan, sorte de Google des objets connectés (voir encadré). Rien qu’en vallée de Seine yvelinoise, de Rolleboise à Conflans-Sainte-Honorine, Shodan donne accès à plus de 10 000 de ces systèmes reliés à internet dans ses bases de données. Si la plupart sont sécurisés, il n’est pas très difficile de tomber sur ceux qui sont grand ouverts.
Pourtant, ces objets connectés nous sont de plus en plus indispensables et pratiques. « Je ne peux pas travailler sans », explique ainsi Houned. A 58 ans, ce patron boulanger utilise ainsi des caméras pour dissuader d’éventuels agresseurs, mais aussi connaître l’état de ses stocks et le volume de sa clientèle à distance pour chacune de ses trois boulangeries.
Il est plutôt surpris en apprenant que l’une des caméras de sa boulangerie du quartier de la Vigne blanche, aux Mureaux, est visible par tous les internautes. « Normalement, il y a un mot de passe, je vais contacter l’installateur », s’étonne-t-il lundi dernier. Sauf que le mot de passe n’est pas demandé pour accéder aux images en direct. L’erreur de configuration est rectifiée en quelques minutes suite à l’appel diligent de l’installateur à la rédaction.
Mais le boulanger est le seul que nous avons pu contacter pour l’avertir : les autres images, des salons aux jardins en passant par le lit d’un petit enfant, de Limay à Conflans-Sainte-Honorine, sont celles de caméras toujours accessibles. Elles illustrent simplement le risque pris par de nombreux particuliers ne prenant pas le temps de procéder aux quelques actions de sécurisation indispensables après l’achat de tels objets (voir encadré).
Les caméras constituent l’exemple le plus évident des risques de ces objets désormais présents dans notre quotidien. Mais d’autres peuvent aussi poser problème s’ils ne sont pas correctement sécurisés, et accessibles car peu protégés par votre box internet qui, souvent, joue le rôle méconnu mais indispensable de premier barrage face aux importuns du web.
Souhaiteriez-vous qu’un intrus puisse consulter les températures enregistrées par votre système domotique, au risque de pouvoir vous cambrioler lors d’une baisse liée à un départ en vacances ? Qu’il connaisse les identifiants de votre réseau sans fil par accès à votre relais Wifi ? Qu’il sache quels films et séries vous stockez sur votre serveur multimédia ? Les exemples ci-dessus ont pourtant tous été constatés en vallée de Seine lors de la réalisation de cet article.
De très nombreuses box internet sont également visibles sur Shodan, avec parfois, là aussi, leurs mots de passe par défaut. « J’ai été dans des entreprises, dans leurs Freebox, ils avaient encore comme identifiants admin/admin. Les TPE et PME ne s’y connaissent pas vraiment », témoigne un expert en sécurité informatique de l’administration, habitant du Mantois, joint par La Gazette*.
Dans une auto-école de Gargenville, c’est cette fois-ci l’imprimante branchée à une box non sécurisée, qui est accessible sans mot de passe. « L’imprimante est une porte dérobée, elle donne accès au réseau en interne, aux noms de domaines et groupes de travail », analyse notre spécialiste. Mais même un non-technicien peut consulter les noms des pages imprimées.
Cela permet, dans une auto-école, de savoir qui est inscrit aux cours, entre autres. Pour d’autres entreprises, les conséquences peuvent néanmoins être bien plus sévères. « On doit même pouvoir prendre le contrôle de la connexion, reconnaît le responsable de l’auto-école, trentenaire et plutôt au fait du sujet. J’étais au courant, j’ai une nouvelle box mais je ne l’ai pas encore branchée, je suis sur la vieille box pas sécurisée, je l’éteins tous les soirs. »
Si certains objets connectés peuvent représenter un risque particulièrement important, ce n’est pas le cas de tous, indique l’expert que nous avons contacté : « Avec certains, on ne craint rien, comme un objet permettant, en interne seulement, de commander un téléviseur, de regarder ou stocker des médias, d’allumer une ampoule. Seuls ceux qui communiquent vers l’extérieur sont une boîte de Pandore. »
De plus en plus, les sociétés productrices de ces objets publient des mises à jour régulières de sécurité, et demandent avec insistance aux utilisateurs d’en changer les mots de passe. Mais l’augmentation constante de leur nombre dans les foyers et entreprises contrebalance cette tendance. Et l’on pourrait ainsi voir se multiplier, à l’avenir, les attaques de masse utilisant de tels objets compromis, ou des délits plus ciblés visant entreprises et particuliers par leur intermédiaire.
* Ce spécialiste en sécurité informatique a souhaité rester anonyme compte tenu de son devoir de réserve.
Êtes-vous sur Shodan ?
Le moteur de recherche d’objets et de systèmes connectés Shodan est très utilisé par les chercheurs en sécurité informatique, les plaisantins et les pirates en herbe. Il cherche et répertorie tout un pan d’internet souvent ignoré. En 2014, Shodan est propulsé sur le devant de la scène mondiale par l’enquête « Null CTRL » du journal norvégien Dagbladet.
Mais comment savoir si son réseau et ses objets connectés sont présents sur Shodan ? Les plus connaisseurs de nos lecteurs peuvent se rendre directement sur shodan.io et, après inscription, entrer dans la barre de recherche « net : » suivi de son adresse IP. Les plus béotiens en informatique pourront, eux, se rendre directement d’un ordinateur connecté au réseau à vérifier sur iotscanner.bullguard.com.
Comment se prémunir des intrusions ?
Pour l’instant, les intrusions informatiques au sein des objets connectés insuffisamment sécurisés ciblant particuliers et entreprises sont encore minoritaires parmi les délits de ce type. Le premier moyen de les éviter est de sécuriser son réseau, en amont, par l’intermédiaire de sa box internet qui ne doit pas laisser entrer les connexions extérieures. Les autres sont de modifier les mots de passe, de mettre à jour l’objet, voire d’en modifier les ports de communication avec l’extérieur.
« La faille est déjà existante sur le réseau si on peut accéder à l’objet, note l’expert sollicité par La Gazette*. Il faut créer un routage sur son routeur (souvent la box prêtée par le fournisseur d’accès à internet, qu’il faut souvent configurer en mode « routeur », Ndlr) qui est une passerelle entre le réseau privé familial et le grand web. »
D’autres précautions sont à prendre lors de l’achat de chaque objet connecté à internet : « Si vous êtes sensibilisé par la sécurité, vous faites la mise à jour du micrologiciel auprès du constructeur, et vous changez ensuite les mots de passe du produit », poursuit-il.
Enfin, ceux qui sont un minimum connaisseurs peuvent, pour s’assurer encore plus de sécurité, modifier le port utilisé pour communiquer avec internet. « Par exemple, le port 81, un port HTTP (un ordinateur compte des milliers de ports utilisables, Ndlr), est très souvent utilisé par ces objets, les pirates savent que c’est un port par défaut, précise le spécialiste contacté. Ce sont des réflexes à avoir, mais les gens ne l’ont pas. »