Sécurité de l'Internet des objets

Le terme «Internet des objets» (Internet of Things, IdO) désigne des objets et appareils connectés à un réseau tel qu'Internet pour communiquer entre eux ou transmettre des informations.

Il s'agit généralement de capteurs, d'actionneurs ou d'éléments de commande gérés depuis une application dans le nuage.

Ce type d'appareils peuvent être une enceinte intelligente (assistant vocal), un interrupteur intelligent, un four, un réfrigérateur, une télévision, etc. connectés à Internet ou à un réseau interne par le biais d'une interface réseau.

Nombre de ces appareils «intelligents» nécessitent une connexion Internet pour fonctionner correctement. Cela engendre une augmentation non seulement du nombre d'utilisateurs d'Internet, mais aussi du nombre d'appareils susceptibles d'être piratés. Ces appareils peuvent notamment être utilisés pour envoyer des pourriels ou lancer une attaque (par ex. DDoS) contre un autre utilisateur.

De tels appareils doivent par conséquent être sécurisés (utilisation de mots de passe individuels ou restrictions d'accès) et régulièrement mis à jour. Il convient notamment d'effectuer les mises à jour dès la découverte de failles critiques de sécurité dans le logiciel de ces appareils, celles-ci pouvant être exploitées par des pirates. S'il est clair pour tout un chacun qu'un ordinateur ou un smartphone doit être mis à jour, cela ne va pas de soi pour un interrupteur intelligent ou un réfrigérateur.

Les objets et appareils accessibles par Internet peuvent être détectés par n'importe qui (notamment grâce à un outil d'exploration de ports [portscan] ou à un moteur de recherche comme Shodan). Les appareils utilisant un moyen de données d'accès standards (nom d'utilisateur et mot de passe) présentent des risques encore plus élevés.

Mesures préventives

Pour éviter que votre interrupteur intelligent, votre assistant vocal ou tout autre appareil IdO ne soit piraté, le NCSC recommande les mesures préventives suivantes:

Avant d'acquérir ou d'installer un objet ou un appareil pouvant être connecté à un réseau, renseignez-vous sur les dispositifs de sécurité informatique:

  • Quelle est la fréquence des mises à jour?
  • Ces mises à jour sont-elles installées automatiquement ou l'utilisateur doit-il les lancer lui-même? Comment l'utilisateur sait-il que des mises à jour sont disponibles?
  • Est-il possible d'accéder à l'appareil par Internet?
  • De quels mécanismes de sécurité dispose l'appareil pour empêcher tout accès non autorisé? Le système d'exploitation de l'appareil est-il compatible avec une liaison sécurisée de type SSH ou HTTPS?
  • Est-il possible de modifier les données d'accès prédéfinies par le fabricant (nom d'utilisateur et mot de passe)?

Empêchez que l'on puisse accéder à l'appareil par Internet si une connexion n'est pas nécessaire pour l'utiliser (par ex. à l'aide d'un pare-feu ou d'un réseau séparé déconnecté d'Internet).

Si l'objet doit être accessible par Internet (par ex. pour fournir des informations), nous recommandons les mesures suivantes:

  • Aménagez un sous-réseau pour votre appareil connecté qui ne permet pas l'accès à vos données personnelles (ordinateur, serveur de stockage en réseau, etc.). Ainsi, l'appareil sera connecté à Internet sans être relié à votre réseau interne. De nombreux routeurs modernes permettent aujourd'hui un tel raccordement. De cette façon, vous protégerez votre réseau interne de toute attaque menée par le biais de l'un de vos appareils connectés.
  • Restreignez l'accès depuis Internet à votre appareil, par exemple en utilisant un filtre d'adresses IP (pour restreindre l'accès à certaines adresses IP) ou en appliquant un filtre de géolocalisation d'adresses IP (pour restreindre l'accès à des adresses IP suisses par ex.).
  • N'utilisez que des protocoles qui offrent une connexion sécurisée, tels que des protocoles SSH ou HTTPS. N'utilisez jamais un protocole ouvert comme Telnet ou HTTP.
  • N'utilisez jamais de ports standards (par ex. 23 – Telnet, 443 – HTTPS, etc.), car votre appareil serait détectable par un simple système d'exploration de ports. Optez pour des ports plus complexes (par ex. 2323 au lieu de 23, 43443 au lieu de 443, etc.) afin de compliquer la détection de l'appareil.

N'utilisez aucune donnée d'accès prédéfinie (nom d'utilisateur, mot de passe). Ces données sont connues et peuvent être facilement utilisées par les pirates. Modifiez le nom d'utilisateur et le mot de passe dès la mise en service de l'appareil.

Choisissez un mot de passe fort difficile à déchiffrer (au moins 12 caractères avec des chiffres, des lettres et des caractères spéciaux).

Utilisez si possible un deuxième facteur d'authentification (par ex. SMS, Google Authenticator, carte à puce, etc.).

Lorsque vous n'utilisez pas votre appareil, déconnectez-le du réseau ou d'Internet.

Désactivez la fonction UPnP (universal plug and play) de votre routeur. Renseignez-vous auprès de votre fournisseur d'accès ou du revendeur de votre routeur sur les possibilités de configuration ainsi que sur les restrictions fonctionnelles et les autres conséquences imprévisibles que ces mesures peuvent engendrer.

Mesures en cas d'infection d'un appareil

Si l'un de vos appareils connectés a été piraté, nous vous conseillons de le réinitialiser (restaurer les paramètres d'usine). Après la réinitialisation, nous vous recommandons d'observer les points présentés sous les «Mesures préventives» et d'appliquer les mesures décrites afin d'empêcher une nouvelle attaque. 

Pour réinitialiser l'appareil, veuillez consulter le manuel d'utilisation ou le site Internet du fabricant.

Informations complémentaires

Dernière modification 10.02.2021

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/infos-fuer/infos-unternehmen/aktuelle-themen/massnahmen-schutz-iot.html