Publicité

Bâtiments intelligents. (Photo d'illustration Musée de la Confluence Lyon, Ben_Kerckx Pixabay CC).

Quand la complexité des bâtiments intelligents ouvre de nouvelles brèches aux hackers

Maisons connectées, bâtiments intelligents… si les appellations peuvent changer, leur fonctionnalité reste la même. À savoir : permettre aux individus de faciliter leur quotidien en interagissant avec leur lieu de vie. Cela qu’il s’agisse du domicile familial ou du bureau. Ce système présente pourtant de nombreuses failles.
Si le film I.T. (de John Moore, sorti en 2016) en a montré quelques-unes, cet article en dit davantage sur les manières de prendre possession d’un lieu lorsqu’on en n’a pas les clés.

L’Internet des objets n’est pas une simple vision futuriste. C’est une réalité qui a déjà transformé nos modes de vie et notre manière de travailler. D’après les projections du cabinet Gartner, plus de 14 milliards d’objets connectés seront utilisés en 2019, chiffre qui devrait atteindre 25 milliards en 2021.

Beaucoup de ces objets ont trait à la domotique et aux bâtiments d’entreprises. Or lorsqu’ils sont connectés ensemble via des plateformes d’automatisation, certains problèmes font surface.

Ce type de configuration, qu’on appelle environnements IoT complexes, présente en effet de nouvelles failles permettant aux hackers de lancer des attaques à la fois physiques et numériques…

Une mauvaise nouvelle pour les professionnels de la sphère IT qui réalisent ainsi que la surface d’attaque des entreprises augmente.

L’âge connecté

L’IoT offre des perspectives qui relevaient encore de la science-fiction il y a près de dix ans. La domotique et les bureaux connectés offrent des niveaux de commodité, de loisirs, de sûreté et de productivité jamais vus jusqu’ici.

À l’ère de l’IoT, tous les objets du quotidien – des appareils électroménagers aux verrous des portes et fenêtres, en passant par les caméras de sécurité ou les haut-parleurs – sont réinventés. Toutefois, si chacun de ces objets présente un réel intérêt, c’est lorsqu’ils sont appariés pour interagir ensemble qu’ils révèlent tout leur potentiel.

C’est là que les plateformes d’automatisation IoT entrent en jeu.

Les serveurs d’automatisation tels que FHEM et Home Assistant permettent d’intégrer et de contrôler les objets à partir d’une seule et même interface simple d’utilisation. Ces serveurs peuvent par exemple mesurer des données telles que la température ambiante ou la consommation d’énergie… Ou encore permettre d’automatiser l’éclairage ou le chauffage.

Ainsi, grâce aux plateformes d’automatisation, il est aujourd’hui possible de demander à un assistant numérique de vérifier si toutes les portes et fenêtres d’un immeuble sont bien fermées.

Cependant dans un environnement IoT complexe, plus il y a d’objets et d’actions à coordonner, plus le risque d’erreur augmente, entraînant de ce fait des problématiques de gestion et de débogage.

Une situation susceptible de s’aggraver si, comme cela est souvent le cas, les serveurs d’automatisation sont mal sécurisés ou configurés.

Exposition en ligne

De nombreux serveurs d’automatisation IoT en open-source, à l’image de FHEM, sont dépourvus de fonctionnalités de sécurité (protection par mot de passe activée par défaut, par exemple) ou n’incitent pas les utilisateurs à activer les paramètres de sécurité.

Ces derniers se retrouvent donc à la merci des hackers qui peuvent les trouver par une simple recherche via le moteur Shodan.

En théorie, les attaquants peuvent ainsi infiltrer le serveur d’automatisation et :

  • Reprogrammer les règles ;
  • Subtiliser des données sensibles codées en dur ;
  • Ajouter de nouveaux objets au réseau ;
  • Infecter des appareils avec des malwares ;
  • Ou encore affilier des objets à des botnets.

Et cela ne s’arrête malheureusement pas là… Penchons-nous plus en détail sur ces menaces pour mieux comprendre le phénomène.

Les attaquants peuvent par exemple tromper les sy