La récente prise de contrôle médiatisée d'une Jeep grâce à une faille de son système électronique n'est qu'un aperçu des dangers sur la route menant à un environnement dominé par des objets connectés.
Les possibilités de voler les données, voire de contrôler totalement des appareils rendus "intelligents" par une connexion internet, est un thème central des présentations à la conférence Black Hat sur la sécurité, qui se tient cette semaine à Las Vegas.
"Presque aucun des fabricants d'appareils connectés n'a de véritable équipe dédiée à la sécurité", indique à l'AFP Jeff Moss, fondateur de la conférence et également organisateur du rassemblement de pirates Def Con qui la suivra.
"Les criminels sont des génies pour déterminer comment utiliser ceci à mauvais escient", prévient-il, estimant que "le piratage de la Jeep n'est que le début". Une allusion à la récente prise de contrôle à distance par deux chercheurs d'une Jeep Cherokee, qui a conduit son constructeur Fiat Chrysler à rappeler 1,4 million de véhicules aux Etats-Unis.
Depuis un ordinateur portable à leur domicile, Charlie Miller et Chris Valasek s'étaient introduits dans le système électronique de divertissement embarqué, qui est connecté à internet. Ils avaient réussi à manipuler la radio, les essuie-glaces, ainsi que la vitesse et le freinage.
"Nous sommes peut-être bons dans ce que nous faisons, mais c'était un projet pour le week-end", a commenté Charlie Miller en présentant des détails de l'opération mercredi dans une salle comble à Las Vegas. "Qu'est ce que ça serait si nous faisions cela à temps plein, ou étions payés pour cela?"
Charlie Miller, chercheur en sécurité chez Twitter, et Chris Valasek, qui travaille pour la société de cybersécurité IOActive, disent avoir creusé les problèmes présentés par les voitures connectées parce que les dangers physiques sont évidents.
"Les constructeurs automobile dépensent des millions de dollars pour la sécurité, et maintenant ceci est une part de la sécurité, que ça leur plaise ou non", a commenté Chris Valasek.
- Des portes d'entrée pour une attaque d'ampleur -
Si les spectaculaires piratages de voitures ou d'armes à feu attirent l'attention à Las Vegas, beaucoup de participants évoquent des dangers bien plus vastes.
Jeff Moss imagine par exemple qu'un grille-pain connecté soit piraté et serve de porte d'entrée pour une attaque, qui passerait ensuite par l'intermédiaire des connexions sans fil à d'autres objets connectés de la maison, comme l'équipement audio-vidéo, puis se transmettrait au domicile du voisin.
Les données collectées par les objets connectés peuvent servir à découvrir comment les gens vivent ou leurs routines quotidiennes, des informations utiles pour des voleurs par exemple. Les caméras de ces appareils peuvent aussi être activées pour espionner des moments intimes que les victimes préfèreraient garder privés.
Une partie du problème, c'est que les objets connectés, comme l'électroménager intelligent par exemple, sont conçus pour durer, mais que leurs logiciels ne sont pas mis à jour, laissant aux pirates le temps de trouver et d'exploiter leurs failles.
"Nous nous précipitons vers un futur où tout est connecté; rien ne peut être mis à jour, et tout va durer dix ans", souligne Jeff Moss. "Après, c'est un jeu de chiffres. A un million, c'est un problème; à une centaine de millions, c'est un désastre."
Ce qui dérange particulièrement Jeff Moss, c'est la possibilité de pirater des compteurs intelligents. Les attaquants pourraient ainsi viser non seulement des domiciles individuels, mais aussi tout un réseau, peut-être en coupant et rallumant de manière répétée l'électricité dans tout un quartier.
L'essor des objets connectés risque de poser la question de la responsabilité des concepteurs de logiciels, prévient Jennifer Granick, directrice en charge des libertés civiles au Center of Internet and Society de l'université de Stanford, qui intervenait à la conférence Black Hat.
Ils y ont jusqu'ici échappé, car la plupart des gens ne pensent pas à poursuivre le concepteur du logiciel quand leur ordinateur tombe en panne, mais les choses risquent de changer quand ce sera un accident de voiture, raisonne-t-elle.
"Un objet ayant maintenant un logiciel qu'elle n'avait pas avant va nous exploser à la figure", estime Jennifer Granick. "La responsabilité des (créateurs de) logiciels est inévitable, et elle est nécessaire."