Cybersécurité & objets connectés : 5 questions à Mathieu Gemo

Alors que de nombreux objets connectés font parler d'eux, et pas pour les bonnes raisons, nous avons décidé de poser quelques questions à Mathieu Gemo, expert en cybersécurité et co-fondateur de BlueFiles.

5 questions à un expert en cybersécurité, Mathieu Gemo

Alors que l'Allemagne vient de bannir les montres connectées pour les enfants et qu'on apprenait au début du mois que les arnaques 2.0 allaient se multiplier, nous avons décidé de poser 5 questions à un expert en cybersécurité. Des dangers aux astuces pour se protéger, Mathieu Gemo va vous donner les clés pour comprendre le lien étroit qu'il faut faire entre cybersécurité et objets connectés. Pour simplifier le format, nous avons raccourci les réponses ; vous pouvez retrouver l'ensemble de l'interview juste après !

Cybersécurité et objets connectés : l'interview complète de Mathieu Gemo

Clubic : Quels sont les dangers et risques des objets connectés ?

Mathieu Gemo : Les menaces sont les mêmes que pour les ordinateurs et smartphones : fuite/vol des données, demande de rançons, prise de contrôle à distance, virus et malwares d'espionnage, trackage externe des usages et profilage.

La différence se trouve dans la nature des données personnelles stockées : connaissance de l'équipement et de l'utilisation du foyer, de l'identité, de la santé et de la géolocalisation, ainsi que des photos et vidéos.

De plus, les objets connectés sont souvent moins performants, moins protégés, moins suivis que les desktops et terminaux mobiles (le plus souvent pour des raisons économiques), alors qu'ils sont équipés de micros, de caméras... Ils deviennent donc un point d'entrée facile pour les hackers qui accèdent à des données très sensibles.

Clubic : A-t-on un état des lieux des hacks dans ce domaine ?

Mathieu Gemo : Les objets connectés sont une cible supplémentaire et facile pour les hackers : plus grande surface d'attaque et accès à des données très personnelles, très recherchées en cybercriminalité.

En France, entre octobre 2015 et octobre 2016, 85,3 millions (Source : enquête Norton, entreprise spécialisée dans la sécurité en ligne) de donnés identitaires ont été volées, c'est le deuxième pays le plus touché après les États-Unis.

13,7 millions* de personnes ont été confrontées à la cybercriminalité sur cette même période.

Clubic :Quels objets connectés sont à bannir absolument de chez soi (et d'en dessous du sapin) ?

Mathieu Gemo :

• Les objets connectés bas de gamme ou ceux vendus par un fournisseur peu transparent de l'aspect sécuritaire représente, selon moi, un risque important.
• Les objets connectés qui ne disposent pas de voyants lumineux ou indicateurs « user-friendly » dédiés à l’activité réseau, du micro et de la caméra, ou d'un système de coupure de collecte.
• Les objets connectés dont la localité de l'hébergement des données enregistrées ne les soumettent pas aux lois européennes actuelles.

• Je recommande : Les objets connectés proposés par des structures spécialisées ayant intégré la notion de « Security by Design », qui maintiendront leurs produits avec des mises à jour régulières.

Clubic :Que penser plus précisément des serrures connectées et ce genre de dispositifs ?

Mathieu Gemo : Il est nécessaire de contrôler le sérieux de chaque produit et de connaître le niveau de connexion proposé.

Les serrures qui seraient contrôlées à distance depuis internet me paraissent prématurées dans le contexte actuel de cybersécurité. En effet, aucun fournisseur n'est pour l'instant à l'abri d'une faille. C'est donc au client d'activer des authentifications fortes souvent contraignantes mais indispensables dans ce cas de figure.

Avez-vous des conseils simples pour prendre moins de risque ? Faut-il bannir l'ensemble des objets connectés ?

Tous les consommateurs doivent prendre conscience des risques liés aux objets connectés et connaître les principes de bases de cybersécurité (encore trop peu appliqués).

C'est pourquoi il est nécessaire de consulter le traitement sécuritaire (chiffrement) des données collectées, leur nature et de ne pas simplement s'intéresser aux fonctionnalités proposées.

Il y a ensuite les conseils simples à appliquer :

• Activer une double authentification ou tout autre dispositif de contrôle secondaire au mot de passe, afin de limiter les risques de fuite/vol de ce dernier sur les portails Web associés à ces objets. Dans le cas où ce renfort n'est pas proposé, c'est mauvais signe ;
• Surveiller l'activité des objets connectés à l'aide des voyants d'activation (réseau, micro, caméra, autres détecteurs) pour s'assurer qu'elle est cohérente et voulue. Il est également nécessaire de vérifier régulièrement l'activité sur les portails Web associés ;
• Déconnecter et supprimer les comptes associés aux objets connectés dont l'usage et l'utilité est faible afin qu'ils ne fonctionnent pas sans raison.

Clubic :La question joker : à vous de poser une question importante pour vous sur le sujet et d'y répondre en même temps.

Mathieu Gemo :

• « Quel est le business model du fournisseur ? »

Le fournisseur doit être un spécialiste des objets connectés avec une gamme de produits qui auront un bon suivi post-achat (ou une grosse structure qui a les moyens d'intégrer les aspects sécuritaires) plutôt qu'une entreprise opportuniste qui propose un « gadget » connecté.

De plus, si les objets connectés de ce fournisseur venaient à être massivement piratés, l'image et la notoriété de la marque doivent être en « danger ».

Il faut également être vigilant envers les fournisseurs dont le modèle d'entreprise repose sur la collecte de données personnelles en vue d'un ciblage publicitaire. Le risque est de collecter plus que le service rendu et de générer des métadonnées personnelles.