Les pirates aiment l'Internet des objets, car la sécurité ne vend pas de grille-pain

L’expression «violation de données» n’a pas été utilisée dans le langage courant, c’est-à-dire «un nombre considérable de recherches mensuelles sur Google», jusqu’en novembre 2013, lorsque 110 millions de cartes de paiement de clients ont été révélées par une violation de données Target. Maintenant, nous comprenons non seulement que nos informations sont vulnérables, mais qu’elles sont vulnérables de tous les côtés. Ce qui était vrai pour Target est maintenant valable pour les poupées Barbie, les toilettes, les appareils d'IRM et le système de diffusion d'urgence: Ces éléments peuvent être piratés. C’est la raison pour laquelle les médias sont tombés amoureux d’histoires sur la manière dont de nouveaux produits pourraient être piratés ou facilement compromis. Ces récits sont aussi courants que générateurs de confusion. Après tout, il est difficile d’analyser ce que «vulnérable» signifie vraiment à l’ère de la violation.

Essayons car il y a beaucoup plus à venir.

Les autoroutes numériques qui relient le monde se connectent maintenant à des routes panoramiques qui vont partout. Nous prévoyons une multiplication par 30 du nombre d’appareils connectés à Internet au cours des cinq prochaines années, ce qui représente 26 milliards d’appareils en ligne. Il ne s’agit plus uniquement de smartphones et d’ordinateurs, mais également de poignées de porte intelligentes, de thermostats, d’ampoules, etc. Même s’il n’ya pas forcément de données numériques de valeur pouvant être volées dans une poignée de porte connectée à Internet, il ya beaucoup de choses à voler chez vous si quelqu'un apprend à les transformer. Parfois, ce processus est inconfortablement facile pour les experts.

Dan Guido, PDG de la société de recherche et développement en cybersécurité, Trail of Bits, suggère que cela est dû à un problème systémique dans la technologie contemporaine. Considérez le système d’exploitation de votre ordinateur ou de votre smartphone. De nouveaux correctifs et mises à jour sont publiés régulièrement pour Windows, OS X, iOS, etc. Chacune de ces mises à jour sert à corriger des bogues variés, aussi invisibles qu'ils puissent être pour le consommateur, et chacune d'entre elles est une opportunité à exploiter.

«On n'arrive jamais à la fin», a déclaré Guido. "Ils corrigent et corrigent sans cesse, mais les vulnérabilités à découvrir sont quasiment illimitées." Le problème fondamental, dit-il, est que les personnes ne construisant pas de logiciels ne sont pas protégées dès le départ; trop d'emphase est mise sur la création de produits rapides et fiables - la sécurité reste une préoccupation secondaire.

Il s’avère que ce que les consommateurs ont de plus proche d’un organisme de surveillance de la sécurité numérique est la FTC, qui s’est intensifiée ces dernières années pour responsabiliser les entreprises vis-à-vis de leurs revendications en matière de sécurité. Si une entreprise fait des affirmations sur la sécurité de ses produits qui ne tiennent pas, elle risque une amende. Cela peut sembler intimidant pour certaines petites entreprises, mais l’histoire nous dit que les consommateurs ont peu de mémoire en matière de sécurité et que le marché a donc tendance à ménager le fouet. Les entreprises consacrent du temps et de l’argent à la rapidité et à la commodité, car c’est finalement ce que veulent les consommateurs. La sécurité semble avoir plus d'importance quand elle échoue. Cette approche pourrait être résumée de la manière suivante: «pas de mal, pas de faute."

C'est un problème parce que cela fait de l'adoption de l'innovation une proposition dangereuse.

Selon Guido, de nombreux périphériques Internet des objets sont si faciles à pirater que les stagiaires de son entreprise les réorientent souvent pour leurs propres projets. «Si vous voulez percer dans un iPhone ou dans Internet Explorer, cela prend des mois d'effort. Si vous souhaitez accéder à la toute dernière balance Wi-Fi, cela prend une semaine sans expérience préalable. »Briser des appareils IoT modernes est tellement anodin dans le monde de la sécurité réseau qu'il a été qualifié de« piratage indésirable ».

«L’avancement de la sécurité n’a pas vraiment lieu», explique Guido, suggérant que c’est un problème d’éducation. «Fournir de meilleurs outils et incitations à la sécurité dans l'enseignement de l'informatique pourrait faire la différence. Les étudiants doivent fournir des normes de sécurité pour le code, mais pour l’instant, il est difficile pour un enseignant d’évaluer la sécurité. ”

Ce qu’il faut retenir de la critique de Guido: Tout est vulnérable, mais certaines espèces d’appareils sont plus susceptibles de réussir une incursion. Tout ce qui est nouveau, très en vogue ou très itératif est susceptible d’être particulièrement vulnérable, de même que les produits bootstrapés et tout produit technologique qui tire de la valeur en exploitant une marque non technologique. Cela devrait-il être source d'inquiétude ou d'impasse parmi les consommateurs? Ça dépend. Si votre poignée de porte hackable pose un problème de sécurité légitime, votre grille-pain hackable représente un inconvénient potentiel, mais peu probable. Et il peut y avoir de la valeur à ce désagrément. Après tout, un grille-pain super piratable est également piraté par son propriétaire, ce qui permet un nouveau type de personnalisation de cuisine amusant.

Les histoires sur la vulnérabilité vont proliférer. La chose importante à retenir lorsque les titres commencent à crier, c'est que tous les hacks ne sont pas créés égaux et qu'il n'existe pas de choses comme la sécurité absolue - seulement de meilleurs paris.