Smart City IoT

IoT & Bonnes pratiques

The Truman Show nous voilà !

Je vous avais déjà parlé brièvement des objets connectés via un reportage ARTE ainsi que de l’importance de choisir des mots de passes complexes et surtout différents.

Qu’est ce que l’IoT ?

IoT = Internet of Things. Soit « L’Internet des Choses ».

C’est abstrait, je sais.

Pour simplifier, l’IoT va regrouper tout ces appareils qui à l’origine n’avait pas besoin de réseau Internet pour être utilisés. Ou, qui fonctionnait anciennement sur un autre réseau qu’Internet.

Par exemple, votre téléphone et votre ordinateur sont des appareils que vous utilisez directement pour accéder à Internet. Ils sont conçus pour ça.

En revanche votre lave vaisselle, réfrigérateur, caméra de surveillance, balance connectée et autres, sont des appareils qui à l’origine n’avait aucune interconnexion avec Internet.

L’Internet of Things regroupe tous ces objets du quotidien que vous utilisez et qui exploitent Internet pour fonctionner. Cela implique qu’ils captent des données (temps d’utilisation, votre poids, vidéo surveillance de votre bébé etc …) qui transitent sur différents Clouds (bien souvent celui du fournisseur de l’appareil).

L’Internet of Things dépasse aussi le cadre de votre domicile, un Linky peut être considéré comme faisant partie de l’IoT par exemple.

Un exemple des différents appareils constituant l’IoT. Crédits : gecdesigns.com

Les failles de l’IoT

Il y a, à mon sens, deux failles principales : Le constructeur et l’utilisateur.

Le constructeur

Prenons par exemple les kits de vidéosurveillance vendus sur Amazon.

Vous en trouverez à des prix allant de 300€ à 1000€ et plus pour du matériel qui au niveau des caractéristiques semble identique.
Pourquoi ?

  • La qualité de fabrication : Même si cela nous intéresse pas ici.
  • La facilité d’utilisation : Un produit plus cher aura certainement une interface logicielle soignée, facile à s’approprier.
  • La sécurité de l’appareil : Un kit venant d’un constructeur réputé aura un logiciel fiable (sûrement basé sur Linux), mis à jour (ou à défaut facile à mettre à jour) et optimisé pour vous offrir une expérience utilisateur sécurisée.

Lorsque j’ai regardé les commentaires sur l’un des kits à 300€ sur Amazon, un utilisateur expliquait que l’OS de la platine qui gère l’enregistrement de toutes les caméras était … Windows XP.

Autant vous dire qu’installer ça chez soi revient à lancer sa propre émission de télé-réalité.

« Tiens c’est drôle, on dirait mon jardin ! »

Donc en résumé, lorsque vous achetez des objets qui vont être connectés à Internet en permanence : Renseignez vous et mettez le prix.

Cher ne veut pas dire mieux mais c’est quand même un bon indicateur.

L’utilisateur

Vous, moi, surtout vous. Je déconne.

Peut être avez vous déjà vu des reportages sur des « hackers » (à prononcer « akeurzes ») qui font les kékés en affichant le contenu des caméras d’une maison depuis un PC portable, cachés dans leur voiture ?
Mais si, même qu’ils ont des capuches ! Faites un effort.

Généralement sur trois, il y en a au moins un qui se fait appeler Mr Robot.

Et bien voici en résumé comment ils ont procédé :

  1. Ils ont réussit à s’introduire sur le réseau local de la maison, généralement par WiFi.
    À savoir qu’il existe des logiciels qui sont capables de pirater un mot de passe WiFi en très peu de temps.
    Donc déjà, ils savent lancer un logiciel et faire trois clics, chapeau.
  2. Ils ont identifié des caméras sur le réseau et les ont « piraté ».
    Pour identifier des caméras sur un réseau, trois clics et pour les pirater …

Savez vous comment ces génies ont piraté les caméras ? En tapant le mot de passe.
Quand je vous dis que l’utilisateur, c’est le pire.

Pour rester sur l’exemple des caméras : La plupart des utilisateurs achètent une caméra de surveillance, la connectent à leur réseau puis la consultent … Ça fonctionne, c’est nickel et le mot de passe est facile à retenir : Password.

Le problème réside dans le fait qu’elles ne comprennent pas comment fonctionne le matériel qu’elles utilisent.

C’est un mot de passe de base, présent sur la notice du constructeur de la caméra.
Imaginez un constructeur qui met un mot de passe aléatoire sur chaque caméra qui sort de l’usine et l’imprime sur le mode d’emploi correspondant ? Ils ont plutôt pas intérêt à se tromper lors de la mise en boite !

Il est plus facile de mettre un mot de passe de base que l’utilisateur personnalisera.

Et si il y a un mot de passe, ce n’est pas par hasard. Il permet non seulement d’accéder au flux vidéo de la caméra mais aussi à l’audio et surtout : La configuration.

Donc vous pouvez avoir la caméra la mieux conçue au monde, blindée dans sa conception, si vous utilisez admin en identifiant et password en mot de passe … Tant pis pour vous.

Histoire de vraiment faire peur, il existe des bases de données contenant tous les identifiants par défaut de milliers d’appareils. Avec le bon logiciel, vous faites quelques clics et toutes les combinaisons sont essayées les une derrières les autres jusqu’à ce que ça fonctionne.

En résumé : Achetez du matériel de qualité et sécurisez le au maximum en le mettant à jour et avec un mot de passe complexe.

Conclusion

Le monde change. Les usages et usagers aussi.

Internet s’immisce dans des endroits où personne n’aurait pu l’imaginer.
Parfois à juste titre, parfois …
Est ce qu’un lave linge qui vous envoie une notification pour vous dire que vos slips kangourous sont propres est réellement nécessaire ?

Quoiqu’il en soit, si vous voulez vivre avec cette technologie (et malheureusement vous n’avez pas le choix et l’aurez de moins en moins) alors il faut se renseigner un minimum pour comprendre quelques bases.

À défaut de faire de vous un hacker, cela vous permettra de mieux exploiter le matériel que vous achetez (souvent cher) et surtout de vous protéger d’éventuelles failles basiques.

Cet article m’a été inspiré par la lecture de « 100 millions d’objets connectés ont une de ces failles : les réparer toutes s’annonce impossible ».

1 thought on “IoT & Bonnes pratiques

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *