Back to Navigation

Internet des objets

Transcription d'un balado sur Internet des objets et comment cela fonctionne.

Animateurs :   PB: Phil Brown, DW: David Whelan

PB : Bonjour, ici Phil Brown en compagnie de David Whelan. Aujourd’hui nous allons parler de l’Internet des objets.

DW : C’est un drôle de nom, et j’ai même entendu des gens dire « Internet de tout », ce qui décrit bien ce dont on parle, à mon avis. Dans le passé, on avait les réseaux client-serveur. On avait un ordinateur personnel, un téléphone, ou une tablette qui se connectait à Internet ou à réseau à la maison ou au bureau, et on utilisait un de ces appareils pour communiquer avec d’autres appareils ou serveurs.

Mais on voit maintenant toutes sortes d’objets connectés à Internet. Vous avez peut-être reçu des publicités vous invitant à faire connecter votre maison, de façon à pouvoir se connecter à Internet pour vérifier si les lumières, ou le système d’alarme sont allumés par exemple. Vous pouvez aussi allumer votre interphone de surveillance bébé, ou surveiller votre enfant à la garderie par une caméra Web. De plus en plus d’appareils sont aujourd’hui connectés soit à un réseau interne, soit à Internet.

PB : D’accord, donc c’est ça qu’on veut dire quand on parle d’« objets intelligents » capables d’interconnectivité. Ça peut être toute sorte de choses, comme votre serrure de porte que vous contrôlez par Bluetooth de votre téléphone, jusqu’à un interphone de surveillance bébé, l’alarme incendie, ou d’autres choses semblables.

DW : Oui tout ça est vraiment remarquable. On voit l’aspect pratique de pouvoir allumer des choses à distance. Par exemple, si je suis en route pour la maison et que j’ai préparé le four à l’avance, je peux envoyer l’ordre au four de commencer la cuisson, et tout ça par Internet à partir de mon téléphone. Comme ça, quand j’arrive à la maison et à supposer qu’elle ne soit pas encore partie en flammes, je peux m’assoir à un bon dîner chaud. L’Internet des choses présente plusieurs aspects pratiques de cette sorte.

PB : D’accord, mais n’as-tu pas fait une mauvaise expérience avec ta télévision chez toi?

DW : En effet, quelque chose s’est passé, qui m’a fait réfléchir à ce que ces appareils font vraiment. Dans notre cas, qui est assez commun, je pense, on a acheté une ces télévisions connectées. Samsung appelle ses modèles Smart TV, mais la nôtre n’est pas une Samsung. Ces télévisions sont connectées dans le sens où elles se connectent à un réseau Wi-Fi, ou bien elles ont des connexions réseau qui permettent de se partager de l’information de votre serveur média à la maison et de l’afficher à la télévision, ou bien de se connecter via Bluetooth.

On a constaté que dans certains cas, elles se connectaient au serveur du fabricant de ces télévisions, je crois qu’il s’agissait de la marque LG. Je me suis donc immédiatement connecté à mon réseau pour voir si ma télévision « parlait » avec son fabricant, parce que ce qu’on constatait, c’était que certains de ces appareils indexaient et renvoyaient au fabricant des informations sur le type de fichiers média qu’on avait visionnés sur la télévision, mais aussi qu’ils vérifiaient les autres appareils sur le réseau et faisaient la même chose.

C’est-à-dire que si j’avais des photos sur un serveur, que je n’avais pas visionnées sur la télévision, celle-ci aurait quand même essayé de renvoyer ces informations à LG.

PB : Je vois. Voilà un des aspects d’Internet des objets qui présente un intérêt particulier pour les avocats et parajuristes : la vulnérabilité potentielle au piratage informatique, et le fait que vous devez aujourd’hui penser à sécuriser plusieurs points sur votre réseau à la maison qui ne le sont probablement pas.

DW : D’accord. Il y a un livre très intéressant qui s’appelle « When Gadgets Betray Us All » et qui traite vraiment des problèmes qu’on a. Beaucoup de compagnies aujourd’hui commercialisent très vite des produits qui vont faire partie d’Internet des objets, qui seront donc équipés de logiciel de serveur, qui pourront se connecter à un réseau ou à Internet par Wi-Fi. On peut aussi acheter des caméras Wi-Fi et toutes sortes de choses, un grand nombre d’objets peuvent se connecter au Wi-Fi.

Mais ces logiciels utilisent probablement du logiciel libre, donc s’ils n’utilisent pas la version la plus récente du logiciel, ils pourraient déjà être caduques et vulnérables d’un point de vue sécuritaire. Le logiciel libre réduit le coût de rendre l’objet connecté, mais il pourrait ne pas y avoir de correctif au logiciel après coup. 

Donc on pourrait acheter un objet et le brancher à la maison, par exemple une cafetière connectée Wi-Fi, pour ensuite se rendre compte 2 ans plus tard, si on n’a pas mis à jour le logiciel ou l’appareil (comme on a l’habitude de le faire pour un ordinateur ou un téléphone), qu’il est devenu vulnérable au piratage. Ces vulnérabilités peuvent alors être exploitées, en utilisant la cafetière comme passerelle pour pénétrer sur le réseau et se rendre jusqu’au stockage ou au serveur courriel et extraire des informations confidentielles.

PB : OK. On connait l’histoire d’un avocat de la région de Toronto qui était absent, quand quelqu’un a réussi à s’introduire sur son réseau. Ils ont réussi à pénétrer sur son réseau du bureau par son réseau à domicile, en utilisant comme point d’entrée la caméra de surveillance bébé, qui était connectée au Wi-Fi et qui n’était pas protégée par un mot de passe. Ils se sont introduits dans son réseau à domicile, où son ordinateur était connecté à celui du bureau, et ils ont réussi à pénétrer sur cet ordinateur en exploitant cette vulnérabilité. Ils étaient en train de consulter ses comptes bancaires, quand quelqu’un au bureau a entendu l’ordinateur en marche et, sachant que l’avocat n’était pas là, l’a éteint. C’est la seule raison qui a fait que l’avocat n’a pas eu à contacter beaucoup de ses clients et le Barreau pour leur dire qu’il y avait eu vol des renseignements confidentiels et des fonds en fiducie.

DW :  Oui. Ce qu’il y a de bien avec Internet des objets, c’est qu’on sait déjà comment se sécuriser. Les solutions sont les mêmes que celles qu’on utilise déjà. Donc si on ajoute un appareil à un réseau au bureau ou à domicile, ou n’importe où qui pourrait servir de point d’accès à des renseignements confidentiels ou privés de votre pratique, cet appareil doit être sécurisé avec un mot de passe puissant.

Tout ça pourrait réduire la convivialité d’avoir un appareil quelconque sur le réseau, mais que ce soit des lumières ou une cafetière, il faut avoir un mot de passe pour empêcher qui que ce soit de s’y introduire subrepticement. Il y a un très bon article de Kashmir Hill dans le magazine Forbes dans lequel elle explique comment elle a réussi à allumer et éteindre les lumières dans des maisons, parce que ces gens n’avaient pas changé les mots de passe par défaut de leurs interrupteurs, qui étaient donc disponibles librement sur Internet.

PB :  Oui, je pense que c’est le genre de choses auxquelles les gens ne pensent pas. On met place un réseau à domicile, qui se trouve chez soi, mais ce réseau est visible de l’extérieur.

DW : Oui en effet.

PB :  C’est pour ça qu’il doit être sécurisé. Beaucoup de gens, lorsqu’ils mettent en place leur réseau à domicile avec Bell ou Rogers ou autre, ne changent pas les mots de passe admin, useradmin, passwordadmin, ils laissent tels quels parce que c’est plus facile.

DW : Oui, et on peut être en train de configurer un appareil qui est utilisé par plusieurs personnes, donc c’est vrai que 123456 est un mot de passe dont tout le monde peut se souvenir, mais c’est aussi un mot de passe facile pour quelqu’un qui essaierait d’y pénétrer. Même quand on prend bien soin de séparer son réseau à domicile (où on retrouve plus souvent les appareils de type Internet des objets) de son réseau au bureau.

Si j’ai un ordinateur à mon domicile sur lequel il n’y a aucun fichier de ma pratique, mais que j’utilise pour me connecter à distance ou par RPV à mon bureau, quelqu’un qui réussirait à s’introduire sur mon ordinateur à la maison pourrait avoir accès à mon ordinateur du bureau de la même manière. Il ne s’agit donc pas seulement de bien séparer mon ordinateur à la maison de celui du travail, il s’agit de prendre conscience du fait que toute connectivité entre ces 2 ordinateurs peut potentiellement être exploitée comme passerelle.

PB :  Soit dit en passant, il est certainement conseillé de relever le niveau de sécurité sur son Wi-Fi à la maison, mais il est également recommandé d’activer l’approbation des choses comme les adresses MAC.

DW :  D’accord.

PB :  De cette façon, un appareil ne pourra pas se connecter à votre réseau si vous n’avez pas approuvé son adresse MAC, qui est l’adresse individuelle que le fabricant attribue à chaque appareil au moment de la fabrication.

DW : Ah oui d’accord. En plus de bloquer les appareils par l’adresse MAC ou autre moyen similaire, on peut aussi faire la même chose qu’on fait avec son ordinateur, c’est-à-dire avoir un coupe-feu entre soi et Internet. En réalité, seuls les appareils qui doivent avoir accès ou être connectés à Internet devraient y être connectés.

Donc si vous n’utilisez pas déjà un coupe-feu dans votre routeur Internet à la maison ou au bureau, ce que vous devriez faire, il faut le mettre en marche et surveiller le trafic qui y transite, parce que c’est de là qu’on peut voir si la télévision envoie des données à LG sans qu’on le sache. Ça apparaitrait dans le registre du trafic.

Une autre chose à considérer est open DNS, qu’on utilise chez nous. C’est un filtre Web et un outil de sécurité Web, c’est gratuit pour les particuliers (mais pas pour les sociétés). Ce genre d’outil permet essentiellement de filtrer les sites nuisibles ou d’escroquerie. Donc même si vous ne savez pas que votre cafetière envoie vos coordonnées de carte de crédit à des pirates quelque part à l’étranger, ce service DNS entre vous et ces escrocs pourrait agir comme obstacle pour vous protéger.

PB :  D’accord. Voilà pour notre aperçu d’Internet des objets.

DW : Oui, attention aux dangers sur Internet des objets.