CES 2015 : insécurité dans l’Internet des objets

Régulations
ces-2015-insecurite-internet-objets

La FTC (régulateur des marchés aux Etats-Unis) appelle les fabricants d’objets connectés à renforcer la sécurité de leurs produits et de données qu’ils collectent.

Les perspectives ouvertes par la révolution des objets connectés en matière de développement économique et de redéfinition du quotidien sont aussi importantes que les risques associés à la sécurité des appareils, des données et des utilisateurs.

Ce contraste est au coeur du discours – document PDF, 8 pages – prononcé mardi 6 janvier par Edith Ramirez dans le cadre du CES 2015. Soulignant le manque d’implication des industriels dans la protection de leurs produits, la directrice de la FTC (Federal Trade Commission, régulateur des marchés aux Etats-Unis) les a notamment invités à assurer une collecte et une exploitation “justes” des informations personnelles.

Son appel à la vigilance s’inscrit dans la lignée des avertissements émis cet été par Fortinet. La branche sécurité de Hewlett-Packard, avait déploré l’absence régulière de chiffrement des communications réseau sur les objets connectés. Elle avait aussi pointé du doigt la vulnérabilité de nombreuses interfaces d’administration, des défauts dans la gestion des mots de passe ou encore un manque de suivi traduit par l’indisponibilité de correctifs de sécurité.

Pour Edith Ramirez, l’Internet des objets n’en est qu’à ses balbutiements, mais il est important de s’attaquer à ces problématiques de sécurité pour éviter que le doute naisse dans l’esprit des consommateurs. En première ligne, les collectes de données. Géolocalisation, condition physique, habitudes alimentaires, situation financière… de plus en plus d’aspects de notre vie quotidienne peuvent être surveillés, à mesure que les capteurs électroniques investissent des lieux d’intimité comme la maison ou tout simplement le corps humain.

Dans l’état actuel, reste un point d’interrogation sur l’exploitation de ces données qui peuvent permettre de dresser avec précision des profils d’utilisateurs. Servent-elles bien à fournir un véritable service à valeur ajoutée ? Sont-elles au contraire partagées avec des instituts d’études ? des annonceurs ? des recruteurs ?

Par ailleurs, dans quelles conditions ces données sont-elles recueillies ? Il faut partir du principe que tout objet connecté peut être piraté… et constituer un point d’entrée supplémentaire sur un réseau domestique. L’intégrité même des appareils est cruciale, notre vie pouvant parfois dépendre de leur bon fonctionnement, comme dans le cas d’une voiture ou d’un équipement médical. Principal obstacle selon Edith Ramirez : le manque de puissance des plates-formes embarquées dans certains objets connectés peut empêcher de mettre en place toutes les mesures de protection adéquates.

A la lumière de ces écueils, la directrice de la FTC recommande aux industriels d’intégrer la notion de sécurité dans la conception de leurs produits. Ce concept du “security by design” implique des tests de confidentialité, une attention particulière portée à la configuration par défaut et une réflexion sur le chiffrement pour le stockage et le transfert de toute information sensible. Il s’agira également d’assurer le support technique des appareils pendant leur cycle de vie.

Autre recommandation aux constructeurs : ne collecter d’informations qu’en cas d’absolue nécessité. Et surtout, les supprimer dès qu’elles n’ont plus d’utilité. Edith Ramirez s’oppose tout particulièrement à cette approche qui veut que l’on conserve les données en tablant sur leur potentiel à long terme. Elle en appelle enfin à une généralisation des collectes anonymes et suggère aux entreprises de s’engager publiquement à ne pas tenter d’associer a posteriori des données à des individus.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous du marché de la domotique ?

Crédit photo : maxuser – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur