Pourquoi l'Internet des Objets n'est-il pas sécurisé ?

L’Internet des Objets reste peu sécurisé, malgré des années d’avertissements de la part des chercheurs en sécurité concernant le manque de défense ou les défenses inappropriées des systèmes connectés. En règle générale, les défauts de sécurité de l’IoT commencent par le fabricant et continuent avec l’utilisateur final.

En l’absence d’une norme obligatoire pour la sécurité de base, les fabricants IoT se concentrent uniquement sur les fonctionnalités de l’appareil. Dans de nombreux cas, ils ne recherchent pas les vulnérabilités dans la version finale du code du micrologiciel (firmware) qui pilote le produit, ni dans l’application associée.

Ce pourrait être de la négligence, mais la raison la plus commune est que cette approche réduit les coûts de production et accélère le délai de mise sur le marché. Quoi qu’il en soit, l’effet pèse sur le consommateur, qui risque des dommages financiers ou la perte d’informations sensibles lorsque des pirates commencent à exploiter ces failles.

Le plus souvent, le micrologiciel intègre un code tiers qui, à un moment donné, devient obsolète. Si cela se produit pendant la production, son actualisation impose généralement de faire quelques pas en arrière pour vérifier la compatibilité. Publier une mise à jour après le lancement du produit signifie préparer un mécanisme de mise à jour qui fonctionne correctement, ce qui se traduit par des coûts de fabrication initiaux plus élevés.

De nombreux fabricants IoT privilégie la commodité à la sécurité, mais tous ne veulent pas risquer de perdre des parts de marché ou de ternir leur réputation pour avoir des revenus rapides. Les grands noms de l’industrie de l’Internet des Objets investissent dans la recherche et évaluent la sécurité de leurs produits avant de les mettre en vente.

Cependant, même les systèmes IoT les mieux conçus ne peuvent résister seuls aux attaques de pirates. Les fournisseurs proposent des options de protection, mais c’est l’utilisateur final qui doit les activer et les personnaliser pour augmenter la résistance aux tentatives de compromissions ou même décourager complètement les pirates. Garder les informations d’identification de connexion par défaut et exposer inutilement l’objet sur le web est une invitation à un accès non autorisé.

Ainsi, l’insécurité des appareils IoT s’explique en partie par des fabricants qui ne livrent pas des produits de qualité, mais aussi par des utilisateurs qui n’utilisent pas les options de sécurité dont ils disposent.