La CNIL a mis en demeure Genesis Industries pour des problèmes de sécurité dans des jouets connectés, soulevant des inquiétudes concernant la vie privée. Le marché des objets connectés devrait croître de 500% d'ici 2025, mais la majorité des applications ne sont pas testées face à des cyberattaques. Des violations de sécurité exposent des dispositifs connectés à des risques variés, nécessitant une prise de conscience et des investissements en cybersécurité de la part des entreprises.

1. Jeudi de l’AFAI : Les objets connectés
Décembre 2017

2. 2
 Le 4 décembre, la CNIL a mis en demeure la
société GENESIS INDUTRIES LIMITED dans le
cadre d’une procédure sur les jouets connectés
:
- robot « I-QUE »
- poupée « My Friend Cayla »
 Les faits reprochés :
- Le non-respect de la vie privée des
personnes en raison d’un défaut de
sécurité
- Le défaut d’information des utilisateurs
des jouets
OBJETS CONNECTÉS & CYBERSÉCURITÉ : UN EXEMPLE TRÈS RÉCENT
Sources
https://www.cnil.fr/fr/jouets-connectes-mise-en-demeure-publique-pour-
atteinte-grave-la-vie-privee-en-raison-dun-defaut-de
https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-
295.pdf

3. 3
 Une inquiétude de premier plan pour les
responsables politiques … au-delà des Directions
d’Entreprises
Source
https://twitter.com/gerardcollomb/status/932943134509723648
OBJETS CONNECTÉS & CYBERSÉCURITÉ : L’ÉTAT ET LES ENTREPRISES
EN PARLENT
 Maillots NBA connectés

4. 4
LES OBJETS CONNECTÉS
UN MODÈLE QUI S’ÉTEND À TOUS LES DOMAINES
Domotique
Équipements
industriels
Communication
Divertissements
Équipements
médicaux
Sécurité et
surveillance
Internet
des
objets

5. 5
Croissance estimée des objets connectés de 2015 à 2025
 L’Institut d‘études avancées de Vienne estime que le marché des objets connectés augmentera de 500% en 10 ans.
 Le cabinet de conseil McKinsey estime que la taille totale du marché de l'IOT en 2015 était de 900 millions de dollars,
qu’elle passera à 3,7 milliards de dollars en 2020 et que l’impact économique potentiel est de 2,7 à 6,25 milliards de
dollars en 2025.
LES OBJETS CONNECTÉS
UNE FORTE CROISSANCE SUR 10 ANS
15,41 17,68
20,35
23,14
26,66
30,73
35,82
42,62
51,11
62,12
75,44
0
10
20
30
40
50
60
70
80
2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025
Source : IHS (2016)

6. 6
Les dispositifs connectés ne profitent généralement pas du même niveau de contrôle sécurité
 80 % des applications pour ne sont pas testées en condition de cyberattaque (Source : Ponemon Institut).
 Les procédures de tests et la sécurisation des applications ne bénéficient pas de budget suffisant.
 Les raisons qui pousseraient les entreprises à investir sont multiples :
LES OBJETS CONNECTÉS
DES FAIBLESSES DANS LE DÉVELOPPEMENT
54%
46%
25%
23%
15%
12%
10%
15%
0% 10% 20% 30% 40% 50% 60%
Une grave attaque informatique affectant
l'organisation
Une nouvelle réglementation
La couverture médiatique d'une importante
attaque informatique sur une autre entreprise
Impact potentiel sur les relations avec un
partenaire comercial
Impact potentiel d'une attaque informatique
sur les revenues de la compagnie
Création du taxe incitant à investir d'avantage
sur la sécurité
Risque de perte de clients suite à une
incident de sécurité
Aucun des choix proposés
Source : Ponemon Institut (2017)

7. 7
Différentes attaques réalisées avec des objectifs variés
 Les produits connectés sont vulnérables dès leur conception, et sont également facilement accessibles par des
individus malveillants :
 L’exemple des jouets connectés de la société GENESIS INDUSTRIES LIMITED en est une preuve.
 Une fois compromis par un attaquant, le dispositif peut être utilisé de différentes manières :
− Dispositif de surveillance :
• Vol de données sensible : photos ou vidéo, informations médicales, localisation géographique (voiture,
bracelet).
• Surveillance vidéo ou audio (caméra, baby phone).
− Support de lancement d’attaques informatiques à grande échelle : déni de service, vol d’adresse IP
− Abus des fonctionnalités : ouverture de la vanne de gaz d’un four sans son allumage, contrôle de la
climatisation, blocage des portes d’entrées d’un bâtiment.
LES OBJETS CONNECTÉS
VOL D’INFORMATION SENSIBLE OU VECTEUR D’ATTAQUE (1/3)

8. 8
Exemple d’attaque de type « Déni de service » : Cyberattaque d’Octobre 2016 contre Dyn
LES OBJETS CONNECTÉS
VOL D’INFORMATION SENSIBLE OU VECTEUR D’ATTAQUE (2/3)
Phase préparatoire Attaque Résolution
Compromission de dizaines
de millions d’objets
connectés à travers le
monde
Un groupe de hackers a réussi à
prendre le contrôle de plusieurs types
d’objets connectés au moyen de Mirai,
un logiciel malveillant déjà utilisé pour
mener plusieurs attaques d’ampleur .
Début de l’attaque du type
déni de service sur Dyn
Une attaque informatique massive de
type « déni de service » a paralysé une
partie du Web, essentiellement aux
États-Unis le vendredi 21 octobre
2016 en fin d’après-midi pendant
plusieurs heures. Cette attaque ciblait
un acteur majeur de l’internet (service
DNS) Dyn.
Début d’une enquête du
FBI et du Département de
la Sécurité intérieure
(DHS)
Face à l’ampleur de l’attaque,
le FBI et le département de la
sécurité intérieure américain
ont annoncé avoir lancé une
enquête estimant que Dyn a
été visé par des gens
préparés.
Deuxième vague
La panne a touché des sites parmi
les plus importants de la planète.
Le réseau social Twitter, le site de
vidéo Netflix, le forum Reddit ou le
site de service de paiement en ligne
PayPal.

9. 9
Les objets connectés sont une source d’information à caractère personnel
 Les objets connectés accompagnent souvent leurs utilisateurs dans leur vie quotidienne et enregistrent une grande
quantité d’informations (bracelet podomètre, station météo connectée, etc.)
 Il n’est souvent pas nécessaire d’interagir physiquement avec l’objet pour le compromettre.
 Un rapport du Symposium sur la sécurité des technologies de l'information et des communications (SSTIC) de 2017
sur un objet basique, une brosse à dents connectée présente un constat inquiétant :
- Constat :
• L’objet n’est pas correctement sécurisé et met à mal la vie privée de son propriétaire.
• Les communications Bluetooth Low Energy sont en clair, et quiconque est à proximité peut interagir avec
elle, ou suivre son propriétaire.
- Risque :
• Les informations volées peuvent être monétisées, servir de dispositif de suivi ou alimenter une base de
données d’emails à spammer.
 Nombreux constructeurs sont actuellement très novices dans le domaine de la sécurisation de leur produit :
- Ils ne savent pas ce qu’est une notification de vulnérabilité.
- Ils la confondent avec du spam ou ne prennent pas la peine d’y répondre.
- Ils acceptent mal qu’on teste leurs produits.
LES OBJETS CONNECTÉS
VOL D’INFORMATION SENSIBLE OU VECTEUR D’ATTAQUE (3/3)

10. 10
Un demi-million de pacemakers menacés de piratage informatique rappelés (été 2017)
 Le pace maker connecté : pacemaker capable de transmettre sans fil les données physiologiques du patient vers un
système local, lui-même relié à Internet. Son médecin peut ainsi suivre à distance l’évolution de l’état de santé de sa
patiente et réduire au minimum les visites de contrôle. Il y a quelques mois, l'administration américaine a rappelé
465.000 stimulateurs cardiaques menacés d'un piratage potentiel à cause d'une vulnérabilité informatique.
 L’alerte a été lancée par la US Food and Drugs Administration (FDA), chargée de la protection des patients aux Etats-
Unis.
 Les pacemakers concernés proviennent tous du fournisseur St Jude Medical (groupe Abbott).
 Pour mettre à jour le logiciel de leurs pacemakers, les patients américains n’avaient pas beaucoup le choix, il fallait
aller voir un spécialiste à l’hôpital qui le téléchargera sur l’appareil.
- Risque :
• Cette vulnérabilité permettrait à un pirate se trouvant à proximité d'en altérer le fonctionnement en
agissant à distance par onde radio pour, par exemple, vider la batterie ou modifier la fréquence cardiaque.
Et mettre en danger la vie du porteur du stimulateur cardiaque.
LES OBJETS CONNECTÉS
THE INTERNET OF THREATS

11. 11
La sécurité : une réflexion à mener dès la conception
LES OBJETS CONNECTÉS
SÉCURISATION DES OBJETS CONNECTÉS
Conception
Définir les besoins futurs
des utilisateurs et
implémenter les bonnes
pratiques.
Sécurité continue
Rester à l’écoute des
vulnérabilités connues des
technologies et déployer les
correctifs de sécurité
nécessaires.
Production
Surveiller la chaîne de
production pour s’assurer
du respect des procédures
de développement
sécurisé.
Identification des
problèmes métiers
Communiquer avec
l’ensemble des métiers liés
au produit.
Evaluation de la
sécurité du produit
Effectuer des tests pour
mesurer le niveau de
sécurité.
Informer le client des
risques liés à l’utilisation de
l’objet et les actions
permettant de les limiter.
Support client

12. 12
L’Internet des Objets apporte un réel changement dans la mise en œuvre des dispositifs de sécurité
Plusieurs contraintes sont à prendre en compte :
 Connectivité : L’internet des objets utilise les protocoles Bluetooth et NFC, qui ne permettent pas toujours
d’embarquer un niveau de sécurité suffisant.
 Durée de vie de la batterie : Même s’ils permettent de procurer un meilleur niveau de protection, les algorithmes
cryptographiques peuvent affecter durement la consommation énergétique.
 Gestion des mises à jour : Il est indispensable de mettre à jour le système, sans interférer avec l’utilisation de l’objet.
Cela est particulièrement saisissant dans le cas des voitures connectées que l’on ne peut pas conduire lorsque le
logiciel se met à jour.
 Puissance : Les petits objets embarqués actuels ont une puissance de calcul limitée. Plusieurs opérations ne peuvent
pas être réalisées en même temps dans un délai raisonnable.
LES OBJETS CONNECTÉS
CONTRAINTES LIÉES AUX OBJETS CONNECTES

13. 13
Prise de conscience accompagnée d’une nouvelle réglementation
 Le GDPR (Règlement général sur la protection des données) fut rédigé par la Commission européenne pour permettre
la modernisation des principes de protection des données personnelles datant de 1995 et adopté définitivement par
le Parlement européen le 14 avril 2016 et rentre en vigueur dès le 24 mai 2018.
 « Consentement et information » : L’objectif est de donner plus de pouvoir aux citoyens de l’UE pour contrôler leurs
données personnelles en notamment responsabilisant les acteurs traitant des données (responsables de traitements
et sous-traitants).
 « Privacy by design » : L’inclusion des mesures de protection des données dès la conception des produits (ex.
chiffrement).
 « Droit à l’oubli » : La durée de conservation des données doit être limitée au strict minimum. Il est recommandé de
mettre en œuvre des archives où les accès sont restreints.
 « Transfert hors UE » : Il est nécessaire de garantir la possibilité à un citoyen européen de faire exercer ses droits dans
les pays traitant ses données.
Des risques financiers de plus en plus présents
 Le GDPR permet l’utilisation d’amendes administratives pouvant s’élever, selon la catégorie de l’infraction, de 10 ou
20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le
montant le plus élevé étant retenu.
 Le risque de perdre des clients pousse de plus en plus de constructeurs à invertir des la sécurisation de leur produit.
LES OBJETS CONNECTÉS
PRISE DE CONSCIENCE ET RÉACTIONS DES CONSTRUCTEURS

14. Audit/Conseil en cybersécurité
David LUPONIS
Ligne directe : +33 1 49 97 64 65
Mob : +33 6 62 66 91 05
Mail : david.luponis@mazars.fr
www.mazars.com
61, rue Henri Regnault
92075 La Défense Cedex