Nouvelle année, nouvelle sécurité – Partie 1 : Cas d’utilisation de l’IoT

Cas d'utilisation futurs en matière de sécurité et de confidentialité pour l'Internet des objets et les réseaux basés sur le cloud

Bonne année ! À l'approche du Nouvel An, prenons le temps de revenir sur l'année écoulée : ses réussites et ses difficultés, les leçons apprises et nos ambitions. Maintenant que 2019 est officiellement arrivée, il est temps de se tourner vers l'avenir. En tant que PDG de Swimlane, je souhaite aborder les enjeux de confidentialité qui attendent le secteur de la sécurité l'année prochaine. Voici le premier volet d'une série en deux parties qui explore comment l'Internet des objets (IoT) et l'essor du cloud computing posent de nouveaux défis aux centres d'opérations de sécurité (SOC) et aux utilisateurs individuels, ainsi que les cas d'usage possibles en matière d'orchestration, d'automatisation et de réponse de sécurité (SOAR).

Au lendemain des fêtes de fin d'année, les gadgets et appareils connectés à l'Internet des objets (IoT) sont déballés et installés dans les foyers du monde entier. Si ces appareils sont censés nous faciliter la vie de diverses manières, des cas d'atteinte à la vie privée via l'IoT, comme… Des pirates informatiques communiquent avec les utilisateurs via leurs caméras. Ou encore, la crainte que les fours à micro-ondes espionnent les internautes continue d'alimenter les débats autour de la sécurité et des technologies.

Quand les grille-pain attaquent-ils ?

En tant que professionnel de la sécurité, je suis naturellement paranoïaque, mais je ne pense pas vraiment que les gens aient à craindre que leurs grille-pain et micro-ondes ne se soulèvent et ne les agressent. Théoriquement, il est possible qu'avec une caméra et au bon moment, votre lave-linge/sèche-linge superposable vous frappe au visage, mais le véritable problème de l'Internet des objets, c'est la protection de la vie privée.

En restant sur votre laveuse/sécheuse, pensez à la Bouton Amazon Dash. À mesure que ce service se popularise, vous pourriez vous dire : “ Voilà comment je vais recevoir ma lessive ! ” Ensuite, votre lave-linge/sèche-linge – mais surtout Amazon et Tide – analysent votre consommation de lessive en fonction de votre linge et détectent les niveaux bas. L’avantage ? Vous recevez votre lessive à temps ; vous recevez peut-être même des recommandations sur la lessive la plus adaptée à vos vêtements. Mais le revers de la médaille, c’est que quelqu’un sait que vous ne lavez pas vos jeans aussi souvent que vous le devriez. Ou, plus sérieusement, vous étiez peut-être en train de faire votre lessive à un endroit et absent d’un autre où un incident, heureux ou malheureux, aurait pu se produire.

Pour moi, les problèmes de sécurité liés à l'Internet des objets (IoT) concernent moins le risque que mon micro-ondes me blesse que la divulgation d'informations sur mes habitudes et ma géolocalisation au monde entier. Dès lors, il est essentiel de se demander : comment ces informations sont-elles exploitées à des fins marketing ou commerciales ? Qu'en est-il des forces de l'ordre ?

“Je te surveillerai.”

Il est tout à fait approprié que le groupe des années 80 surveiller chacun de vos mouvements On l'appelait la police. Je ne suggère pas que nous soyons dans une situation orwellienne à la “ Big Brother ”, mais nos téléphones, nos montres connectées et traqueurs d'activité physique— pour n'en citer que quelques-uns — fournissent déjà des données sur notre position géographique précise à tout moment. Les forces de l'ordre, les entreprises, les commerçants et les agences de publicité peuvent ainsi obtenir une liste complète de personnes grâce à la géolocalisation et se dire : “ Voici les personnes que nous allons interroger, car elles se trouvaient à proximité. ” Est-ce un problème ? Pas forcément. Mais que se passerait-il si vous étiez automatiquement considéré comme suspect dans une affaire criminelle en raison de votre proximité ? Ce serait grave.

Où sont les limites ?

On voit partout des caméras de télévision qui révèlent que des personnes sont surveillées à leur insu. De toute évidence, tout ce que nous disons est enregistré par un appareil Google Home ou Alexa. L'importance que l'on accorde à la protection de la vie privée liée à l'Internet des objets (IoT) dépend de la confiance que l'on accorde aux entreprises qui nous surveillent. Quelles sont nos attentes concernant les informations qu'elles collectent et celles qu'elles partagent ? Si elles reçoivent une demande d'accès aux données, se contentent-elles d'y répondre par un simple “ oui ” et de les transmettre ? Ou exigent-elles des demandeurs qu'ils se soumettent à une procédure complexe, avec mandats et assignations, pour obtenir ces informations ?

Bien que l'Internet des objets (IoT) soit une technologie relativement récente, ces questions rejoignent les discussions que nous avons depuis des années au sujet de nos fournisseurs d'accès à Internet : quel est l'obstacle qui empêche le gouvernement de demander toutes les informations que je consulte sur Internet ? Aujourd'hui, ce ne sont plus tant les fournisseurs d'accès qui détiennent ces informations, mais plutôt Amazon et Google. Dès lors, il convient de se demander : à quoi ai-je consenti en installant cet appareil dans ma chambre, ma salle de bain ou ma cuisine ?

Confidentialité ou sécurité ?

La question de la protection de la vie privée est ici particulièrement complexe, et il y aura toujours cette juxtaposition entre la confidentialité et la sécurité de l'IoT : moins je vois, plus il m'est difficile d'identifier les comportements malveillants, mais plus je vois, plus je peux repérer les problèmes.

On en parle beaucoup dans les milieux du renseignement et de la cybersécurité. C'est un jeu à somme nulle : plus on cède d'un côté, moins on a de l'autre. On peut plaider pour la protection de la vie privée, et on peut plaider pour la sécurité. Pour la plupart des gens, tout dépend de la question : avez-vous récemment été victime d'une atteinte à votre vie privée, ou plus récemment d'une faille de sécurité ?

Benjamin Franklin a dit un jour : “ Ceux qui renonceraient à une liberté essentielle pour acquérir un peu de sécurité temporaire ne méritent ni l'une ni l'autre. ” Et c'était avant l'invention de l'ampoule électrique ! Pour moi, c'est là la question existentielle fondamentale : vie privée ou sécurité ? À titre personnel, je privilégie la vie privée, mais en tant que PDG, je constate concrètement comment les mesures de protection de la vie privée compromettent la sécurité.

C’est un équilibre qui va constamment nous mettre à l’épreuve face à la popularité et aux capacités croissantes de l’Internet des objets.