IOT, Internet Of Things ou Internet des objets connectés. Des appareils intelligents pouvant être contrôlés à distance. Qui parlent entre eux et avec nous. Voici le grand réseau du « on fait et on voit tout d'où on veut ». UN fenêtre personnelle sur le monde numérique de nos affaires : le système d'alarme et les webcams qui nous disent à chaque instant si tout va bien, le frigo qui nous montre ce qui manque, la smartwatch avec le rythme cardiaque et le capteur d'oxygène sanguin capable d'appeler les proches et même le médecin si nous sommes malade. Et qu'en est-il de la voiture et du scooter qui promettent de s'interconnecter avec tout cela aussi ? Un monde numérique à nous, rien qu'à nous, rien que pour nous et peut-être pour qui nous voulons ? Voici le hic : les choses peuvent ne pas fonctionner exactement comme ça.
Le Web est déjà plein d'arrêts. Chaque appareil connecté qui entre dans nos maisons, et plus encore dans nos bureaux, peut constituer un forte menace d'intrusion de l'exterieur. Une double menace aussi. Le monde de l'internet des objets crée un canal direct vers nos informations (fichiers, archives, documents confidentiels), nos images, nos vidéos numériques, notre vie commune. Mais l'entrée illégale dans notre système informatique, par un hacker professionnel ou même un espion plus ou moins amateur, peut constituer une tête de pont pour des actions criminelles encore plus complexes. L'hypothèse selon laquelle quelqu'un utilise notre webcam pour savoir quand il y a de l'espace libre à voler est inquiétante. Mais il y a plus, et peut-être pire : l'utilisation de nos appareils informatiques comme tremplin (cela arrive aussi) pour pénétrer à partir de là dans d'autres systèmes en brouillant les pistes.
Abandonner l'Internet des objets ? Certainement pas. Cependant, il est conseillé de se protéger adéquatement. Ce qui n'est pas très facile, qui nécessite une série de bons conseils et le cas échéant – préparons-nous maintenant – l'intervention, si nous ne sommes pas sûrs d'avoir bien fait les choses, d'une connaissance plus avisée et experte. Pouvez-vous essayer de le faire vous-même ? Oui bien sûr. Voici un guide opérationnel pour sécuriser suffisamment notre réseau Internet des Objets.
La recette anglaise
Pour avoir une idée à quel point le problème se fait sentir, il suffit de penser que les Britanniques pensent s'attaquer à la situation même avec un projet de loi qui établit les critères généraux obligatoires pour tout le monde, avec trois contraintes de nature générale avec un contenu un peu technique dont nous vous montrons maintenant pourquoi ils servent encore à esquisser les critères de base qu'il convient d'adopter. Dans les chapitres suivants, nous essaierons de les rendre compréhensibles même pour ceux qui ne sont pas très experts.
Chaque fabricant – les Britanniques proposent – doit toujours respecter trois conditions de base, indiquées par le British National Cyber Security Center. La première : tous les mots de passe des appareils IOT doivent déjà être différents « d'usine » pour chaque appareil vendu, avec une invitation explicite et claire à les changer lors de l'installation. Et la possibilité de les réinitialiser à un réglage d'usine avec une soi-disant réinitialisation ne doit en aucun cas être prévue. Tout cela pour éviter à l'utilisateur inexpérimenté de sortir les appareils IOT configurés avec des mots de passe non personnalisés (tout le monde n'a pas une idée de la multitude de Mot de passe facilement "crackables" voire absents qui peuplent l'éther). La seconde : les fabricants d'appareils doivent fournir un contact de référence à utiliser pour signaler les vulnérabilités à résoudre le plus rapidement possible. Troisième condition : les fabricants d'appareils IOT grand public doivent s'engager à fournir pendant une durée minimale (au moins quelques années) tous mises à jour de sécurité nécessaire à la fois en ligne et dans les magasins.
Accessible mais caché
Commençons par décomposer ces recommandations en conseils pratiques, en partant du premier critère à adopter lors de l'installation d'un ou plusieurs appareils IOT. Un critère que l'on peut, et doit, adopter également pour les webcams de surveillance (mais il s'applique aussi à celles du PC) qui peuplent désormais aussi une part croissante des domiciles privés. Bon, en fait mauvais, parce que (faites un peu d'auto-examen) beaucoup d'entre nous installent des webcams en les connectant au réseau Wi-Fi principal que nous utilisons à la maison, le même que nous connectons aux PC, aux téléviseurs intelligents, aux décodeurs satellites et tout autre. Très mauvais : la bonne règle est de segmenter le réseau (tout routeur moderne le permet avec simplicité) en créant un réseau parallèle ou mieux encore plusieurs réseaux parallèles avec des noms différents et des identifiants d'accès strictement différents : un à être dédié à notre navigation Internet, un à n'activer qu'en cas de besoin pour donner accès à des invités, un autre pour connecter des appareils IOT.
Cela empêche quiconque parvient à pénétrer dans notre réseau Wi-Fi principal, peut-être parce qu'il a jeté un coup d'œil sur les mots de passe écrits sur un morceau de papier dans le tiroir que nous donnons occasionnellement à des parents et amis, de l'utiliser non seulement pour grappiller un lien permanent car ils vivent dans le même palais mais aussi pour s'occuper de nos affaires ou utiliser les nôtres connexion comme un trampoline pour qui sait quoi d'autre. L'idéal est de cacher au moins le réseau dédié à l'IOT à la visibilité des fonctions de recherche Wi-Fi des téléphones mobiles des autres PC : cela aussi se configure facilement.
Bien sûr, la recommandation de base sur le type de protection Wi-Fi que nous choisissons pour l'accès est valable (l'algorithme cryptographique doit être au moins le WPA2, que nous choisirons d'un simple clic dans les configurations) et sur les mots de passe d'accès, strictement à modifier par rapport à ceux d'usine et de test qui ont pu être saisis (et donc non supprimés) par celui qui a installé le système. Des mots de passe qui doivent être complexes, avec des majuscules, des chiffres et des lettres.
N'ouvre pas cette porte
Au prix de vous soumettre à un petit effort de connaissances techniques, nous vous recommandons également, pour élever le niveau de sécurité de notre monde IOT, de désactiver les fonctions apparemment très confortables qui nous permettent de distribuer nos fichiers audio ou vidéo à l'intérieur de la maison avec une grande facilité, leur permettant d'être accessibles par tous les PC connectés et les téléviseurs intelligents. Aussi bien sur le routeur principal (rappelons-le, c'est le petit boitier en début de réseau qui les relie à l'extérieur avec Internet) qu'éventuellement sur tous les PC, il convient de désactiver notamment les fonctions de transmission automatique qui, avec la communication interne ouvrent des "portes" (c'est ainsi qu'on les appelle) qui à leur tour affaiblissent la sécurité vis-à-vis des tentatives d'intrusion de l'extérieur.
Normalement, tout accès externe direct à notre réseau local doit être absolument interdit par les configurations de base de nos appareils. Mais cela vaut la peine de vérifier attentivement. Dans les appareils que nous avons à la maison, nous vérifions d'abord le désactivation de la prise en charge d'UpNP, une fonction qui s'ouvre automatiquement au flux de tous les contenus audio et vidéo au sein de notre réseau mais l'expose également à de nombreuses intrusions de l'extérieur. C'est aussi une opération qui peut se faire relativement facilement en naviguant dans les configurations de notre routeur et de notre PC, peut-être en récupérant les instructions sur le web en tapant la chaîne "deactivate UpNP" dans les moteurs de recherche.
Si nous voulons distribuer en toute sécurité notre contenu multimédia entre les appareils domestiques, il est bien préférable de s'équiper d'un soi-disant NAS (stockage en réseau), une boîte qui contient des mémoires de masse dans lesquelles insérer nos contenus multimédias, dont l'origine a déjà été pensée pour les distribuer de manière sûre et sécurisée grâce à un guide, qui ne manque jamais, pour le configurer correctement.
Problèmes possibles pour se connecter à nos appareils depuis l'extérieur ? Non, on peut se reposer tranquille. Même si toutes les "portes" de notre routeur sont fermées, il suffit d'utiliser les serveurs mis à disposition par les fabricants de nos appareils IOT. Leurs serveurs nous permettent, après une procédure d'enregistrement et de définition de nos identifiants d'accès, de créer des connexions depuis l'extérieur avec nos appareils non pas directement avec notre réseau domestique ou professionnel mais via un "pont" constitué précisément par leurs systèmes protégés, qui dans le cas des marques les plus connues sont considérées comme absolument sûres.
L'alternative s'appelle VPN
Juste un clin d'œil, à cet égard, dédié à ceux qui se considèrent un peu plus experts ou avertis. Le seul moyen relativement sûr de se connecter de l'extérieur directement à nos équipements de huit ou à l'ensemble de notre réseau de télétravail est de créer un réseau privé virtuel (VPN) en utilisant le logiciel approprié à la fois pour configurer le réseau et pour accéder à nos périphériques externes. Disons cependant qu'il s'agit d'une solution un peu professionnelle habituellement l'apanage des entreprises et des grandes organisations. A moins de recourir directement à un routeur intégrant également des fonctions de serveur VPN, à configurer à la place du principal qui nous est souvent fourni par le fournisseur d'accès Internet, ou à ajouter à notre réseau en le plaçant entre le réseau lui-même et celui de le notre fournisseur de connectivité. Il faut le dire : c'est une solution plus complexe et forcément plus coûteuse que le budget normal d'un système domestique.
Antivirus mais pas que
Pour augmenter la sécurité de notre réseau IOT, l'utilisation d'une suite antivirus avancée est fortement recommandée, qui ne se limite pas aux logiciels normaux mais qui intègre également un système de surveillance du réseau qui nous permet d'indiquer à tout moment les appareils qui le composent, leur état, et tout les intrus à bloquer automatiquement nous alertant de ce qui se passe. Dans ce cas également, il faut dire que la configuration n'est ni très simple ni immédiate, même si elle est disponible en recherchant sur Internet des applications avec des versions gratuites, telles que BitDefender Home Scanner, qui fonctionnent bien et sont facilement configurables et utilisables.
