Accueil Cybersécurité « L’IoT constitue un danger pour Internet dans son ensemble » Mikko Hypponen, F-Secure

« L’IoT constitue un danger pour Internet dans son ensemble » Mikko Hypponen, F-Secure

Mikko-Hypponen, de F-Secure au FIC 2017

L’intervention de Mikko Hypponen fut l’un des points d’orgue de l’édition 2017 du Forum International de la Cybersécurité de Lille. A la tête de la recherche de F-Secure, il a pointé les dangers présenté par l’IoT et confié à Solutions IT/Solutions-numeriques.com l’intérêt de F-Secure pour ce marché.

Cela fait désormais 26 ans que le charismatique Mikko Hypponen travaille chez F-Secure, le spécialiste finlandais de la sécurité informatique. Une expérience unique qui fait du Chief Research Officer de F-Secure un fin analyste de ce marché. Lors de sa conférence sur le FIC, celui-ci a dressé avec humour un bilan de plus d’un quart de siècle de cybersécurité : »Nous avons 2 types de problèmes. Certains sont techniques, d’autres proviennent des gens. Si on parvient à résoudre ces deux problèmes, il ne reste plus rien à faire. Malheureusement, on ne les résoudra jamais. Au moins, les problèmes techniques peuvent être résolus. Si les systèmes présentent des vulnérabilités, c’est que ceux-ci présentent des erreurs de programmation. Pourquoi les programmeurs font des erreurs ? Parce que ce sont des humains et les humains font toujours des erreurs. La bonne nouvelle, c’est que l’on sait corriger ces erreurs, ce qu’il faut faire, c’est les corriger et s’assurer que tout le monde met à jour son boitier, et c’est pour cela que mettre à jour et patcher est si important. Les problèmes technique sont facile à résoudre. »

L’élément humain, ce composant de sécurité que l’on ne peut patcher…

Pour le volet humain, Mikko Hypponen s’est montré moins optimiste. « On ne peut patcher les gens ! La seule chose que nous pouvons faire, c’est les former, mais je vais vous dire quelque chose, l’éducation ne fonctionne jamais. C’est ce que j’ai appris en 26 ans d’expérience. Vous pouvez les former tant que vous voudrez, ils continueront à double-cliquer sur chaque fichier attaché ! » L’expert a notamment remis en cause le système des mots de passe, un système inventé voici 50 ans. « Moi même, j’ai plus de 400 mots de passe et bien évidemment avec autant de mots de passe, les gens utilisent des mots faciles à se souvenir et utilisent bien souvent le même mot de passe partout. » Pour sa part, l’expert utilise un logiciel de gestion de mots de passe.

F-Secure prépare le lancement de son premier hardware

Autre cheval de bataille pour Mikko Hypponen : l’Internet des Objet. « On a déjà vu un ransomware sur un réfrigérateur connecté, on en à même vu sur une Smart TV. Un jour votre voiture vous demandera un bitcoin pour démarrer. Quand vous voyez qu’un objet est qualifié de « smart », considérez que celui-ci sera exploitable dans le cadre d’une attaque informatique. Un smartphone est exploitable, une smartwatch aussi, de même qu’une smart city ! » Pour le CRO de F-Secure, la révolution de l’IoT est partie des systèmes industriels et arrive désormais dans les foyers. Il souligne que l’approche des industriels qui pensaient sécuriser leurs installations en les maintenant déconnectées est maintenant obsolète : « Aujourd’hui, de manière assez surprenante, il est difficile de garder un système déconnecté. Les stations de contrôle se retrouvent d’une manière ou d’une autre connectées. On le sait car on retrouve régulièrement ce type d’interfaces industrielles en accès libre sur Internet. A la maison, on voit des attaques menées non pas sur le routeur, sur le réseau Wifi mais via les ampoules connectées. C’est un problème à la maison, mais aussi pour les entreprises car les employés apportent des équipements IoT sur leur lieu de travail, une machine à café connectée au Wifi de l’entreprise, ou même une bouilloire électrique, des équipements dont votre service informatique n’a pas connaissance et qui sont pourtant le point faible du réseau d’entreprise. »

Mikko Hypponen nous a  confirmé que F-Secure préparait le lancement d’un équipement pour le marché de la maison intelligente. « Nous avons un produit qui sera lancé au cours de cette année et qui sera un routeur durci  pour une utilisation domestique. Ce sera le moyen de créer un réseau sécurisé à la maison afin de pouvoir connecter les objets connectés au Wifi. C’est le seul moyen de sécuriser ces objets car on ne peut installer de logiciel sur un toaster, il n’est pas possible d’installer le logiciel de sécurité de type ‘endpoint’ sur des objets connectés, donc le seul moyen de les sécuriser est de le faire depuis le réseau. C’est un produit qui sera lancé au second trimestre. »

F-Secure Sense
F-Secure SENSE, le premier équipement jamais commercialisé par F-Secure sera disponible à partir du deuxième trimestre de cette année.

Une nouveauté pour F-Secure dont ce sera le premier équipement hardware. Celui-ci ne devrait pas rester sans suite. « Nous allons apprendre sur ce marché de grande consommation puis nous intéresser à d’autres secteurs, notamment le milieu industriel« , a conclu Mikko Hypponen.

 

Auteur : Alain Clapaud