La symbiose entre sécurité numérique et physique
Le défi de la sécurité moderne rappelle les paroles d’une chanson des Stargazers de 1955 : « Ferme la porte, ils entrent par la fenêtre ». Dès que vous avez bloqué un point faible, des problèmes surgissent ailleurs, toujours plus complexes. Qu’il s’agisse de systèmes de domotique ou de grands centres de données, tous semblent avoir une même exigence : la sécurité numérique ne peut être garantie sans la sécurité physique et vice-versa. Une symbiose parfaite.

« Les gens sont vraiment insouciants », déclare Paul Williams, Control4. « Il me suffit d’allumer mon ordinateur à la maison pour trouver 12 ou 13 points d’accès, dont un tiers totalement ouverts. »
Apparemment, les programmes pour pirater les mots de passe sont devenus si sophistiqués que pour être totalement sûr de la sécurité d’un mot de passe, vous devez utiliser 55 caractères, dont des chiffres, des lettres en majuscules, en minuscules et des caractères d’alphabets étrangers. Et dernière précision, mieux vaut éviter ce qui a du sens.
Mais notre vieille chanson résume bien les difficultés de la sécurité moderne : pour sécuriser son univers numérique, il faut également s’assurer que les portes et fenêtres sont bien verrouillées.
En d’autres termes, sécurité physique et sécurité numérique sont les deux faces d’une même pièce. Et maintenant que la sécurité physique passe souvent, au moins partiellement, par des moyens numériques, les deux faces de la pièce se ressemblent de plus en plus.
Domotique sécurisée
De la sécurité physique des grands centres de données à la sécurité numérique des systèmes de domotique, « l’un ne va pas sans l’autre », comme le dit une autre chanson.

L’équipe de Spiderlabs a comme mission de tester les systèmes de sécurité, tant physique que numérique. Spiderlabs a fait trembler le secteur quand elle a expliqué lors des conférences de hackers Def Con et Black Hat de 2013 comment elle avait piraté les systèmes de domotique utilisés dans les réseaux de domiciles.
Daniel Crowley travaille pour la division Spiderlabs de Trustwave, consultant en sécurité Internet et conformité. L’équipe Spiderlabs a comme mission de tester les systèmes de sécurité, tant physique que numérique. Avec ses collègues, il est à l’origine du rapport qui a fait trembler le secteur en expliquant lors des conférences de hackers Def Con et Black Hat de 2013 comment ils avaient piraté les systèmes de domotique utilisés dans les réseaux de domiciles.
Les systèmes que nous avons examinés étaient très vulnérables », déclare-t-il. « Pour l’un d’entre eux, n’importe qui sur Internet pouvait en prendre le contrôle complet : il n’y avait ni nom d’utilisateur ni mot de passe.
C’est déjà assez dérangeant que quelqu’un puisse augmenter le volume de votre stéréo à distance, ou tirer la chasse d’eau de vos toilettes connectées (oui, ils l’ont testée) quand vous y êtes assis. Mais le risque devient réel si vos serrures et caméras se trouvent sur ce même réseau. On a déjà vu un cas où quelqu’un hurlait des insultes dans la chambre d’un enfant de 2 ans via le système de caméra de surveillance du bébé et qui a ensuite insulté les parents quand ils sont venus voir ce qui se passait.
Daniel Crowley veut que les systèmes de domotique soient séparés du reste du réseau. Ils nécessitent leur propre nom d’utilisateur et mot de passe, afin qu’en cas de piratage du réseau, ce système reste hors de portée : « Chaque élément du système domotique doit être sécurisé, même dans un réseau qui ne l’est pas. »
« Les gens sont insouciants »
Paul Williams, Vice-President des produits Éclairage et Confort chez l’un des plus grands fournisseurs de systèmes de domotique, Control4, répond que c’est exactement le cas de son système : « Il trône tout en haut du réseau du domicile, avec sa propre sécurité. »
En mai 2013, il avertissait dans son blog des risques de sécurité pesant sur les réseaux. Il demandait à ses revendeurs d’être vigilants lors de l’installation des réseaux, même quand ceux-ci n’affectent pas le système de domotique. En effet, comme la même personne installe souvent les deux réseaux en même temps, explique-t-il, Control4 veut s’assurer qu’ils sont l’un et l’autre correctement déployés.

« Si vous concevez un produit pour le grand public, vous devez garder à l’esprit que les gens ne sont pas des experts », explique Paul Williams de Control4. En effet, certains utilisateurs peuvent avoir du mal à configurer un niveau de sécurité suffisant sur leurs systèmes de domotique.
Donc : n’autorisez pas la redirection de ports, sauf si vous savez ce que vous faites, écrivait-il dans son blog. Ne diffusez pas non plus le SSID de votre routeur. Et avant toute chose, n’utilisez pas de mots de passe évidents !
« Les gens sont vraiment insouciants », poursuit Paul Williams. « Il me suffit d’allumer mon ordinateur à la maison pour trouver 12 ou 13 points d’accès, dont un tiers totalement ouverts. »
Paul Williams utilisait son blog pour réagir à des reportages sur Shodan, une sorte de moteur de recherche d’équipements. De la même manière que Google recherche des sites web sur Internet, Shodan cherche des objets sur Internet, comme des caméras ou des serrures, des thermostats ou même des camions-bennes – un pirate a pénétré dans le système de surveillance intégré de plusieurs camions-bennes en utilisant un mot de passe facile à deviner.
Dans la vidéo ci-dessous, nous vous proposons le reportage de CNN sur le moteur de recherche Shodan qui a fait réagir Paul Williams. Shodan peut exposer les réseaux insuffisamment sécurisés et des équipements connectés à des individus peu scrupuleux.
Toujours dans son blog, Paul Williams ajoutait que les systèmes de Control4 garantissent « les mêmes standards de sécurité que ceux du secteur bancaire » avec un cryptage SSL 256 bits entre les équipements : « Les analyseurs réseau – ou sniffers – ne sont alors d’aucune utilité. »
Daniel Crowley ajoute que la sécurité est toujours affaire de compromis, en admettant qu’il ne portait pas de gilet pare-balle pour répondre au Future Lab.
« Le niveau de sécurité doit être mis en relation avec ce que vous protégez », explique-t-il, en précisant que les utilisateurs devraient pouvoir régler plus facilement leurs systèmes de domotique sur le niveau de sécurité optimale.
« Si vous concevez un produit pour le grand public, vous devez garder à l’esprit que les gens ne sont pas des experts. »
Sécuriser les serveurs et centres de données
Une entreprise comme 1&1 Hosting Germany, qui fait partie d’United Internet, l’un des plus grands fournisseurs d’accès Internet européens, regroupe de nombreux spécialistes et Michael d’Aguiar, Directeur RP Senior, explique qu’ils ont fait le choix de systèmes décentralisés.

« L’entrée au centre de données se fait par une porte de sécurité qui n’autorise qu’une personne à la fois », explique Michael d’Aguiar, Directeur RP Senior de 1&1 Hosting Germany. « Il y a un lecteur de carte, puis un code à saisir, une reconnaissance faciale et même le poids doit correspondre. »
« Il n’existe aucune commande à distance », poursuit-il. « Le seul moyen d’accéder au système de commande du bâtiment, notamment pour le chauffage, est d’être à l’intérieur. » Les 190 caméras qui protègent leur centre de données principal à Karlsruhe, par exemple, sont reliées sur un circuit fermé qui ne peut pas être accédé depuis l’extérieur.
L’entrée au centre de données se fait par une porte de sécurité qui n’autorise qu’une personne à la fois. « Il y a un lecteur de carte, puis un code à saisir, une reconnaissance faciale et même le poids doit correspondre. Seul un petit nombre de personnes sont autorisées à entrer : « Même notre PDG ne peut pas entrer sans avoir demandé l’autorisation », poursuit Michael d’Aguiar. Le principe semble être : moins il y a d’accès possible, plus le système est sûr.
« Un hacker peut toujours réussir à capter le trafic sur le réseau et à le réutiliser – seul un horodatage ou un mot de passe unique peuvent vous mettre à l’abri. »
Daniel Crowley conseille de bien réfléchir avant de connecter ses serrures à un réseau : même avec un bon cryptage par un nom d’utilisateur et un mot de passe, un hacker peut toujours réussir à capter le trafic sur le réseau et à le réutiliser – seul un horodatage ou un mot de passe unique peuvent vous mettre à l’abri. « Ces procédures sont compliquées alors que la grande majorité des installations n’en ont pas besoin. »
Mais, comme il l’a dit, c’est une affaire de compromis : les fournisseurs de domotique responsables doivent répondre à la demande actuelle d’intégration de la sécurité dans la sphère numérique, en s’assurant de baisser au minimum les risques impliqués.
Par Michael Lawton
Paul Williams est Vice-Président des Produits Éclairage & Confort chez Control4, l’un des fournisseurs les plus innovants de systèmes d’automatisation résidentielle et d’éclairage commercial. Avant de rejoindre Control4, Paul Williams a occupé la fonction de Vice-Président pour l’Utah de SonicWall, suite à l’acquisition par SonicWall de la société dans laquelle il était Vice-Président Senior des Opérations (Phobos), en 2000. Avant SonicWall / Phobos, il était Directeur des Opérations pour Harman Music Group (une société Harman International) et a occupé divers postes de direction pendant ses 14 années passées chez Harman Music Group. Fort de plus de 25 années d’expérience dans l’encadrement opérationnel d’industries high-tech, Paul est un expert reconnu qui met ses talents, sa personne et son dynamisme au profit de nombreux projets, tant au niveau de l’entreprise, de partenariats qu’à l’ensemble du secteur.