IoT - Bitdefender : "On ne peut pas dire, aujourd’hui, que les objets connectés sont sécurisés" (Interview)

Le directeur commercial des ventes BtoC de l'éditeur roumain de solutions de cybersécurité, Maxime Habert, explique à Clubic pourquoi l'univers de l'IoT reste encore très exposé au risque cyber.

Bitdefender, dont les solutions de cybersécurité protègent partout dans le monde plus de 500 millions d'utilisateurs, particuliers ou professionnels, travaille activement depuis plusieurs années à la protection des objets connectés, réputés pour être particulièrement perméables. Le scandale des caméras pour enfant iBaby Monitor justement révélé par l'éditeur roumain en est l'une des nombreuses preuves. En outre, l'entreprise assiste à la crise sanitaire du coronavirus, qui n'a pas encore de vraie répercussion sur son activité, même si des conséquences sont à redouter. Pour discuter de ces sujets, Clubic a interrogé Maxime Habert, directeur régional des ventes de Bitdefender, qui emploie par ailleurs 49 personnes en France

Maxime Habert (© Bitdefender)

Bitdefender, un vrai rôle dans la sécurité de l'IoT

Clubic : En mars 2020, est-il possible de contredire l'affirmation selon laquelle les objets connectés sont sous-protégés ?

Maxime Habert : Non, pas du tout. Depuis 2015 et le lancement de Bitdefender BOX, nous continuons d'alerter les fabricants, les utilisateurs et les pouvoirs publics sur les dangers que les objets connectés représentent. Nous avons des programmes dédiés pour chaque public. On ne peut pas dire, aujourd'hui, que les objets connectés sont sécurisés. Nous avons un réseau de 500 millions d'utilisateurs dans le monde, ce qui nous offre un panorama en live des menaces. Lorsqu'on constate qu'il y a une anomalie sur un, deux ou trois objets d'un même modèle, c'est qu'il y a un souci. Alors, on bloque l'objet, tout en prévenant les utilisateurs. L'IoT représente l'essentiel des menaces, bien au-delà des PC ou des smartphones, qui sont plus souvent équipés d'une solution de sécurité.

« De nombreux objets connectés ne sont plus mis à jour »

Quelles sont les principales recommandations pour les utilisateurs finaux ?

Elles restent toujours les mêmes. Il faut d'abord faire confiance à des marques plutôt connues du grand public, qui sont plus à même de mettre les moyens en termes de sécurité. Il est très important également d'activer la mise à jour automatique, que ce soit sur le firmware du produit ou sur le compte cloud rattaché à l'utilisation de l'objet. Il faut aussi changer de mot de passe régulièrement, et en utiliser un par compte. Enfin, et nous avons milité pour cela, la mise en place de l'authentification à deux facteurs est primordiale, puisqu'elle réduit 99% des problèmes liés aux mots de passe.

Quelles sont celles que vous adressez aux fabricants mais aussi aux pouvoirs publics ?

Nous faisons des recommandations aux fabricants, pour que ces derniers mettent en place les bonnes pratiques. Dans l'IoT grand public, l'architecture est à 99% basée sur un cloud généralisé, comme des plateforme de type AWS, qui sont souvent indispensables pour piloter l'objet depuis son smartphone.

« L'IoT représente l'essentiel des menaces, bien au-delà des PC ou des smartphones, qui sont plus souvent équipés d'une solution de sécurité »

Aujourd'hui, peu d'éditeurs et fabricants sont spécialisés dans le métier du cloud. Ils appliquent les bonnes pratiques sur le cryptage des données ou la gestion du cloud, mais ils ont des limites en matière de sécurité. Les grandes marques sont très attentives à l'utilisation des comptes. Concernant les marques moins connues du grand public, c'est une autre histoire, hélas.

On recommande aux fabricants de ne pas utiliser des codes d'identification qui ne soient pas modifiables. Une caméra connectée, par exemple, doit avoir un code unique et modifiable. On a pu s'apercevoir de codes authentiques sur toutes les caméras d'une même marque. Nous leur recommandons aussi d'ouvrir leurs plateformes à des tests indépendants.

La Bitdefender Box (© Bitdefender)

Les fabricants sont aujourd'hui soumis à la rapidité de la sortie des produits, à la durée de vie raccourcie de ces derniers. La mise à jour des logiciels, des applications et des objets ne se fait plus nécessairement. De nombreux objets connectés ne sont carrément plus mis à jour. Pour le coup, cela ouvre des failles très facilement exploitables par des pirates.

« Les grandes marques sont très attentives à l'utilisation des comptes. Les autres, moins »

Les pouvoirs publics, nous travaillons notamment avec cybermalveillance.gouv.fr en France, doivent pouvoir travailler à la mise en place de normes bien spécifiques, comme la double authentification, qui a fait ses preuves et ne demande pas de grandes ressources aux fabricants. Tout le monde voudrait qu'on évolue vers une sécurité by-design auprès des fabricants, mais des alertes tombent chaque jour avec de nouvelles failles. C'est même devenu une sorte de compétition entre les éditeurs, motivés pour être celui qui va révéler au public le plus de failles possibles. Nous travaillons sur des scénarios en amont qui permettent de sécuriser les failles identifiées mais aussi de repérer les comportements anormaux des objets connectés au sein d'un foyer.

Les e-commerçants, catalyseurs malgré eux de l'exploitation des failles IoT

Des failles liées à la gestion cloud des objets connectés ont récemment étaient découvertes par Bitdefender et dévoilées lors de la conférence RSA à San Francisco par Alex Balan. Comment expliquer ces vulnérabilités ? Est-ce un défaut de compétence des éditeurs ?

Je pense que toute la chaîne de valeur doit être responsable. Pas seulement les éditeurs et les pouvoirs publics, mais aussi les canaux de distribution. Nous avons un programme de certification en place depuis l'année dernières avec un média américain, PC Mag, qui nous amène à évaluer plus en détail les produits les plus populaires auprès du grand public. Si nous découvrons une faille, nous laissons 90 jours au fabricant pour la corriger, et la publions après la mise en place du correctif. En revanche, il y a des fabricants qui ne répondent pas à nos demandes. Il est de notre devoir de prévenir le public par rapport à des failles manifestement identifiées.

« Si nous découvrons une faille, nous laissons 90 jours au fabricant pour la corriger »

C'est ce qu'Alex Balan, de Bitdefender, a fait au RSA en dévoilant la faille sur la caméra pour enfant iBaby Monitor, qui est une faille majeure pour laquelle nous n'avons jamais eu de réponse du fabricant. Le comble, c'est que le produit est recommandé par Amazon. Nous avions remonté le problème en juin 2019 et avions relancé l'entreprise. Il est possible de capter du son à distance et de consulter les vidéos d'autres utilisateurs, via un piratage extrêmement facile puisqu'il n'y a aucune sécurité mise en place par défaut par le fabricant. Pourtant, le produit continue à être vendu chez le géant du e-commerce en étant Amazon Choice (produit vendu par Amazon), avec des commentaires de clients qui sont déplorables. Amazon, sans vouloir critiquer l'entreprise, devrait prendre ses responsabilités.

Malgré la médiatisation de la faille, iBaby n'a toujours pas bougé ?

Toujours pas, non. Pourtant, elle répond aux commentaires sur Amazon. C'est manifestement de la mauvaise volonté.

Sur le même programme, nous avions identifié des failles sur Amazon Ring, très populaire aux USA avec plusieurs millions de foyers occupés. Il était possible de découvrir le mot de passe WiFi des utilisateurs. Il fallait une certaine expertise dans la manipulation, mais cela n'impressionnait pas un hacker. Depuis, la double authentification a été mise en place, et Amazon a immédiatement travaillé sur la faille. Idem pour Delkin, qui avait corrigé la faille dès le mois après son signalement. Hélas, certains fabricants ne prennent pas le sujet à bras-le-corps.

« La faille dévoilée par Alex Balan porte sur un produit « vendu par Amazon », toujours disponible sur le site »

Peut-on dire que les grandes plateformes de e-commerce, comme Amazon, Alibaba et autres, contribuent à l'expansion des piratages et des menaces en mettant en avant des produits trop bon marché ?

Sans pointer la responsabilité de telle ou telle marque, aujourd'hui, les marketplaces ont changé la donne sur la façon de distribuer un produit. Les géants se plaisent à expliquer que lorsqu'un produit est vendu en marketplace, ce n'est pas le e-commerçant qui vend mais la marque du produit directement, ce qui la rend responsable et dédouane la plateforme. Dans l'ensemble, tout le monde s'attache à prendre en compte la sécurité. Après, au-delà des paroles, il y a des actions à mettre en place. On constate que la plupart des grandes marques font très attention, les pouvoirs publics également, et les utilisateurs finaux prennent de plus en plus en compte la notion de sécurité. De la même manière qu'un antivirus, notre rôle est d'apporter de l'aide à nos clients avec des produits comme Bitdefender BOX, afin que les clients les moins prévenants bénéficient d'une sécurité par défaut.

Le coronavirus pourrait impacter les éditeurs de solutions de cybersécurité

La crise sanitaire du coronavirus a-t-elle des conséquences sur l'activité de Bitedefender ?

Chez Bitdefender, nous avons un plan de continuité de l'activité et suivons la tendance de la consommation grand public. Depuis une semaine, on sent qu'il y a une attente. Il y a une baisse de trafic dans les points de vente, y compris dans les régions qui ne sont pas bloquées, ainsi que sur Internet. Mais notre marché de l'antivirus n'est pas impacté, puisqu'il suit la consommation du digital. Ça peut paraître drôle mais les jours de pluie par exemple, on constate une augmentation des activations. Nous considérons que nous aurons une augmentation de la consommation d'Internet et du digital dans les trois prochains mois, ce qui laisse supposer une possible augmentation de nos ventes. Là où nous serons impactés, c'est sur les ventes de PC en magasin, la vente des antivirus en magasin étant très liée à l'achat d'un PC. Mais nous dépendons moins des magasins physiques que par le passé.

« Là où nous serons impactés, c'est sur les ventes de PC en magasin, la vente des antivirus en magasin étant très liée à l'achat d'un PC »

Des chercheurs en sécurité ont décelé la diffusion d'un fichier, qui prendrait la forme d'un cheval de Troie déguisé en pièce-jointe à un mail, qui agirait comme un keylogger (enregistreur de frappe), sur fond de coronavirus. Que pouvez-vous nous dire là-dessus ?

Je pense que ce genre de pratique va se multiplier. Tous les sujets qui inquiètent et ressemblent à quelque chose que l'on connaît sont une raison pour créer du contenu destiné à piéger les utilisateurs. Outre le coronavirus, il y a l'approche des élections municipales. Tous les sujets sont bons pour faire cliquer. La plupart de ces attaques ne sont pas réellement sophistiquées, on peut très facilement les repérer. Notre antivirus protège sur ces problématiques. La charge dommageable qu'est le cheval de Troie reste toujours la même. La méthode de pénétration, qui est le sujet d'actualité, elle, va changer quotidiennement.

Comment se porte Bitdefender en France ?

Nous nous portons très bien. On a annoncé, via notre partenariat avec l'institut d'études GFK, qui suit les ventes de produits IT grand public, que nous avons dépassé les 43% de parts de marché en 2019 sur le retail, en valeur, devant Norton et Kaspersky. Nous sommes très contents de nos performances en France et en Europe. La marque Bitdefender est un gage de confiance dans de nombreux pays. Dans l'ensemble, nous constatons une augmentation de la vente des solutions de cybersécurité payantes. Outre la cybersécurité et les antivirus, nous proposons aussi des solutions comme les VPN, les générateurs de mot de passe, ou le contrôle parental notamment, qui sont des fonctionnalités qui protègent la vie privée.

Merci d'avoir répondu à nos questions Maxime

Merci à vous.