Si ce n'est pas cassé, alors pourquoi le réparer ?

Avez-vous toujours ce vieux routeur sans fil qui distribue l’Internet à tous les appareils de votre maison ? Il fait son travail en toute bonne foi, probablement enfouis quelque part où il peut diffuser un bon signal dans tous les recoins de la maison. Typiquement, il ne voit la lumière du jour que lorsqu’il a besoin d’un redémarrage ou lors de la réinitialisation occasionnelle suivie d’une reconfiguration.

 

Qui ne l’a jamais fait ? Beaucoup de gens font exactement la même chose « l’installer et l’oublier », et pas seulement avec les routeurs, mais aussi avec d’autres appareils électroniques connectés. Les téléviseurs connectés, les thermostats Wi-Fi, les systèmes de surveillance (caméras sans fil, enregistreurs), les systèmes de stockage en réseau (NAS), les prises et les imprimantes connectées sont des candidats potentiels. Tant que l’appareil fonctionne, peu d’utilisateurs le bricolent, sans se préoccuper des problèmes de sécurité qui surgiront avec le temps.

 

Le botnet Reaper n’est que le dernier exemple de la façon dont les cybercriminels détournent les appareils IoT vulnérables à des fins diverses. Une vulnérabilité dans un logiciel de services réseau révélée il y a un mois pourrait avoir un impact sur plus d’un million d’appareils connectés et atteignables sur le Web. Une autre faille aurait pu permettre à un hacker de contrôler tous les produits connectés LG SmartThinQ dans une maison, si le constructeur sud-coréen ne l’avait pas atténuée.

 

Les chercheurs en sécurité trouvent un nombre incalculable de bugs liés à l’IoT, mais les médias relayent surtout ceux qui ont l’impact le plus significatif, réel ou potentiel. Si le produit n’a pas atteint la fin de sa courte durée de vie d’appareil électronique connecté, le fabricant publie généralement une mise à jour du micrologiciel pour résoudre le problème. Mais ne comptez pas sur la nouvelle version pour s’installer seule. En l’absence d’un mécanisme de livraison automatique, vous devez l’exécuter manuellement, une tâche que la plupart des utilisateurs oublient.

 

Parfois, des erreurs peuvent survenir lors de l’application du nouveau firmware et l’appareil reste incorrigé. Même lorsque les mises à jour arrivent et s’installent automatiquement, les utilisateurs doivent démarrer le processus eux-mêmes, comme ça a été le cas des hubs de contrôle intelligents de Fibaro et de nombreux autres produits. En outre, durant le processus, quelque chose pourrait mal fonctionner dans le produit et affecter la fonctionnalité de mise à jour. Seuls certains utilisateurs iraient jusqu’à remonter à la source du problème et de trouver une solution.

 

Ces problèmes peuvent se produire dans les produits encore commercialisés par le fabricant, mais il existe de nombreux gadgets qui ne le sont plus, ce qui signifie qu’ils ne reçoivent plus les mises à jour logicielles. Ce qui est inquiétant, c’est que de nombreux utilisateurs peuvent ne pas être conscients de cela et s’appuyer sur un périphérique vulnérable qui pourrait tomber sous le contrôle non autorisé d’un inconnu, à plus forte raison si on peut y accéder à distance. La mise en place de défenses supplémentaires permet de réduire la surface d’attaque et la probabilité qu’un pirate puisse accéder à d’autres parties du réseau domestique.

 

L’écosystème de l’Internet des objets (IoT) est plus que l’interaction à distance avec les appareils connectés. Il s’agit aussi de votre engagement et celui des fabricants de protéger votre « espace virtuel » des cyberattaques. Les risques de sécurité surviennent lorsque le fabricant ne parvient pas à livrer une mise à jour du micrologiciel en temps voulu, tout autant que lorsque vous oubliez d’appliquer le correctif ou carrément remplacer les produits obsolètes.