Les paparazzis sont connus pour prendre souvent des photos secrètes de célébrités et les vendre à des tabloïds ou à des magazines à potins. Dans cet esprit, est-ce que le nombre croissant d'appareils intelligents et connectés qui entrent dans nos vies pourrait agir comme des « paparazzis de données » confidentielles ? Que pouvons-nous faire pour éviter de s’exposer? Découvrez ici comment se prémunir.
Aujourd'hui, nos appareils collectent et transmettent des informations à toutes sortes de parties externes : notre fournisseur d'alarme de sécurité domestique, notre fournisseur d'électricité, notre fournisseur de montres de fitness, notre constructeur automobile, etc…. Les assistants intelligents écoutent nos commandes vocales et véhiculent ces informations sur Internet pour exécuter nos commandes.
Mais les appareils intelligents vont au-delà - ils peuvent être n'importe quel objet de la vie quotidienne : un grille-pain connecté à une machine à laver, une machine à coudre ou même une brosse à dents !
Les données d'un appareil peuvent ne pas poser de problème, mais la combinaison des données de plusieurs appareils peut créer un modèle susceptible de révéler des informations indésirables sur un utilisateur ou une entreprise. Avec l'arrivée de plus d'appareils dans les foyers, les préoccupations concernant la façon dont les données personnelles sont gérées, contrôlées et utilisées par les appareils et les organisations, reviennent de plus en plus.
Chaque nouvel appareil peut présenter un nouveau risque de sécurité s'il n'est pas correctement géré tout au long de son cycle de vie. Les risques de sécurité doivent être gérés par tous les acteurs de la chaîne de valeur, y compris le propriétaire de l'appareil, que les appareils soient utilisés par des consommateurs, des industries ou des villes intelligentes.
Alors, quelle est la priorité pour s'assurer que les utilisateurs bénéficient et obtiennent de la valeur des appareils et de leurs services associés tout en évitant les problèmes de sécurité ? Devrions-nous risquer involontairement d'être entourés de paparazzis de données qui ont l’œil sur nous?
Dans cet article de blog, nous allons exposer ce que ces facteurs signifient pour le propriétaire de l'appareil et ce qui peut être fait pour y faire face.
Appareils intelligents et confidentialité: vue d'ensemble
Beaucoup d'entre nous interagissent déjà avec au moins 3 à 5 appareils par jour - un smartphone ou même deux, une montre intelligente, une tablette PC, un ordinateur portable de travail et peut-être une télévision intelligente. Une estimation est que d'ici 2030, chacun de nous possédera 15 appareils connectés. Certains appareils, comme une voiture connectée ou un compteur intelligent, sont connectés par défaut et généralement gérés par l'entreprise dont l'utilisateur est client. Ils dépendent généralement de la connectivité cellulaire. Pour de nombreux autres appareils, les utilisateurs eux-mêmes sélectionnent et fournissent la connectivité, souvent Wi-Fi ou cellulaire, et sont personnellement responsables de la gestion des appareils.
En outre , l'infrastructure réseau et les appareils doivent être sécurisés. Il est important pour nous tous que nous puissions avoir confiance en la manière dont nos appareils fonctionnent et traitent nos données. Il sera également important d'assurer la sécurité des appareils tout au long de leur cycle de vie. Face à l’augmentation rapide du nombre d'appareils intelligents et connectés et leur différentes gammes - qui possèdent différentes interfaces utilisateur et fonctions - il peut être fastidieux de garder tous les appareils à jour en termes de micro logiciel et d'état de sécurité, par exemple depuis le jour où l'appareil est acheté jusqu'à ce qu'il soit recyclé. Cependant, il s'agit d'une exigence clé pour permettre un environnement IoT (Internet des Objets) sécurisé et fiable.
Le Règlement Général de Protection de Données (RGPD) et les efforts annexes ont attiré davantage l'attention du grand public sur la confidentialité. À mesure que les gens deviennent plus informés et veulent savoir comment leurs appareils et leurs informations sont utilisés et gérés, il y aura un besoin accru d'outils qui permettent d'identifier, de vérifier et de contrôler les données que les appareils collectent et partagent.
Le problème des paparazzis de données
Passons maintenant à certains problèmes auxquels les célébrités doivent faire face, concernant les paparazzis et les harceleurs, et comment des situations similaires peuvent également se produire dans le monde de l'IoT. Nous révélerons également si des stratégies d'atténuation similaires peuvent fonctionner à la fois pour les paparazzis réguliers et les paparazzis de données.
Disponibilité des informations
Toutes les célébrités ne seraient pas d’accord sur l’adage qui dit que « toute publicité est une bonne publicité ». Les personnalités veulent contrôler les informations partagées à leur sujet, se construire une image publique pertinente mais éviter de révéler des éléments qui relèvent de leur vie privée .
La même réflexion s’applique à la sécurité IoT; les informations nécessaires pour accomplir les tâches prévues d'un appareil IoT doivent être mises à disposition, tandis que le reste des informations doit rester confidentiel. Cependant, pour l'IoT, il existe souvent une approche plus fine, car les informations mises à disposition ne devraient dans de nombreux cas être mises à la disposition d'un groupe restreint d'observateurs qu’en cas de nécessité .
Le problème des harceleurs
De nombreuses célébrités peuvent également avoir affaire à des harceleurs - des individus qui s'intéressent trop à eux et peuvent essayer d'obtenir le plus d'informations possible à leur sujet, même en utilisant des moyens illégaux.
Dans l'espace IoT, le même phénomène pourrait arriver à un individu lambda. Une maison intelligente qui ne restreint pas l'accès aux informations qu'elle génère peut facilement devenir une cible lucrative pour un agresseur ; les informations générées par la maison peuvent être utilisées pour recueillir différentes informations sur les habitants, qui pourraient ensuite être exploitées pour commettre une cyberattaque. Les informations sur l'utilisation de divers appareils, par exemple lorsque les portes sont ouvertes, que les lumières sont allumées / éteintes, que la consommation d'énergie fluctue, peuvent être un véritable trésor. Cela signifie également que des agresseurs potentiels peuvent ne pas s’infiltrer dans une maison simplement parce que le degré sécurité est élevé et suffisamment dissuasif .
Stratégies de mitigation
Les célébrités ont tendance à prendre des précautions pour empêcher les paparazzis et les harceleurs d'envahir leur vie privée. Pour cela, ils peuvent vivre en communautés fermées, ou au moins d'avoir un contrôle d'accès à leur propriété, à travers des murs et des portes par exemple. Ils peuvent également appliquer des mesures de surveillance telles que des capteurs de mouvement et des caméras de surveillance, et même des mesures de sécurité telles que des gardes ou des chiens de garde. Lorsqu'ils se déplacent en public, ils peuvent avoir un agent de sécurité avec eux pour garder les étrangers à distance.
Les mêmes choses doivent être prises en compte dans le monde de l'IoT. Par exemple, dans les maisons intelligentes, l'accès au réseau interne et les données qui y sont générées et stockées doivent être contrôlés et protégés, une surveillance doit être appliquée pour détecter les comportements suspects et des mesures de sécurité réactives, telles que le blocage et l'enregistrement systématique lors d’une effraction .
Ce qui était normal pour les célébrités devrait maintenant devenir la norme pour quiconque dans un environnement IoT. En matière de confidentialité, des mesures actives doivent être prises pour la préserver. Bien que cela puisse sembler effrayant - et sans actions appropriées ce serait en effet le cas - ce n’est pas quelque chose de difficile à réaliser. Il s’agit plutôt d’avoir le bon état d’esprit et de reconnaître que la sécurité doit être de plus en plus intégrée et prise en compte dans le monde connecté, même pour les particuliers.
Que protéger?
L'IoT concerne essentiellement les données générées et consommées par les appareils IoT. Au début, ces données peuvent être considérées comme ne produisant aucun risque, mais même de simples données dans un certain contexte peuvent être sensibles. Par exemple:
• Les données de consommation d'énergie enregistrées par un compteur intelligent peuvent fournir de nombreuses informations sur ce qui se passe dans une maison. Par exemple, en fonction du profil de consommation d'énergie des téléviseurs, l'allumage du téléviseur sera visible à partir des données et s'il est possible de faire correspondre l'heure d'allumage du téléviseur avec le guide TV, cela fournira une bonne indication sur les personnes à la maison qui regardent.
• Tout fabricant compétent de serrure intelligente s'assurera que la communication avec la serrure est cryptée et que son intégrité est protégée. Cependant, cela pourrait ne pas suffire ; en observant le trafic généré par une serrure intelligente, on pourrait potentiellement déduire si la serrure a été ouverte de l'intérieur ou de l'extérieur et ainsi prédire s'il y a eu quelqu'un dans la maison à un moment donné. D'autres données générées par une maison intelligente, y compris la consommation d'énergie et les données d'interrupteur d'éclairage, peuvent être utilisées pour améliorer la prédiction.
• Il est inévitable qu’à un moment donné, un appareil électrique atteigne la fin de sa durée de vie et doive être mis au rebut. Si les informations stockées sur l'appareil ne sont pas correctement supprimées, un pirate informatique peut récupérer l'appareil d’une corbeille ou l'acheter dans un magasin d'occasion, en extraire des données ou des informations d'identification, ainsi que des informations sur les services auxquels l'appareil a été connecté. Ce sont des informations qui pourraient être utilisées pour espionner le propriétaire de manière efficace, voire contrôler ou modifier d'autres appareils appartenant au propriétaire depuis le backend.
La question ne devrait donc pas être: « que dois-je protéger? », Mais plutôt « que n’ai-je pas besoin de protéger? », Ce qui signifie « que dois-je réellement partager? ».
Comment éviter l'utilisation non autorisée de données privées
Il n’existe pas de solution miracle à ce problème et la complexité est proportionnelle au nombre d’appareils et de services avec lesquels nous interagissons. L'application des meilleures pratiques de sécurité relève de la responsabilité de nombreuses entités. Les fabricants d'appareils et les fournisseurs de services doivent fournir des appareils / services sécurisés, avec un contrôle et une maintenance appropriés pour une sécurité future des appareils.
Mais il existe des règles empiriques que chacun de nous peut suivre pour minimiser les problèmes de sécurité et de confidentialité liés à nos appareils. En suivant ces recommandations, on peut construire un système qui résistera à de nombreuses intentions malveillantes et dissuadera la grande majorité des attaquants et opportunistes.
Quelques groupes de personnes hautement qualifiés et bien connectés pourraient être en mesure de contourner même les systèmes les plus sécurisés, souvent par l'ingénierie sociale et le phishing, c'est-à-dire en exploitant la faiblesse humaine, plutôt que par des exploits de sécurité technique. Cependant, avec l'effort requis, l’individu lambda n'est peut-être pas la cible typique.
Les responsabilités de l'utilisateur final comprennent la sélection de solutions appropriées et sécurisées, ainsi que leur installation et leur configuration de manière sécurisée. Des produits bien conçus devraient relativement faciliter la tâche, mais cela peut également être fait avec l'aide de professionnels. En outre, il existe des initiatives telles que le label de cyber sécurité finlandais qui fournit des étiquettes de sécurité pour les appareils IoT, qui visent à aider les consommateurs à sélectionner des produits pour lesquels la sécurité a été vérifiée.
Autre point importante est de ne pas oublier de mettre à jour le logiciel de l'appareil.
Et sur la base des statistiques concernant les échecs les plus fréquents de la sécurité d'un système, une tâche cruciale pour l'utilisateur final est de ne pas oublier de changer le mot de passe par défaut de tous les appareils installés.
Que puis-je faire en tant que propriétaire d'un appareil?
Vérifiez si le fabricant de l'appareil / fournisseur de services propose des mises à niveau du micro logiciel / logiciel en cas de problèmes de sécurité.
Tenez compte des données générées et de la manière dont elles sont utilisées et stockées, par exemple localement et / ou dans le cloud.
Consultez les conditions d'utilisation pour savoir comment les données sont utilisées.
N'oubliez pas de changer le mot de passe par défaut de l'appareil.
N'oubliez pas de mettre à jour le logiciel de l'appareil.
N'oubliez pas de supprimer le contenu de l'appareil avant de le recycler.
Et n'oubliez pas de considérer la fiabilité d'un appareil et de ses services avant l'achat!