« IoT » (« Internet of Things ») – Les usagers localisés en temps réel via leurs cellulaires (mobiles)

Dans une précédente chronique, il a été mis en évidence le fait qu’une nouvelle génération de « virus industriels » se propageait, via internet, et visait plus spécifiquement les applications industrielles et les services publics. Ainsi, le réseau électrique de l’Ukraine a été mis hors fonction par un virus implanté dans les systèmes/ordinateurs contrôlant le réseau de distribution d’électricité dans ce pays. Et d’autres cas similaires ont été documentés notamment l’attaque massive – et d’une ampleur inégalée – sur le site internet Github. Tout cela s’avèrant le « prix à payer » pour disposer d’ordinateurs et de systèmes de contrôle connectés en permanence sur le réseau internet.

Or, les intrusions informatiques visant à recueillir des données sur la population sont plus importantes qu’on ne serait porté à le penser…

Un « bug » dans les sites internet consignant les données de nos téléphones cellulaires (portables) permet le suivi en continu de nos déplacements

C’est ainis que le site ZDNet nous informe d’un « bug » découvert récemment sur le site d’une entreprise, laquelle consigne en continu les données des téléphones cellulaires, et qui permet le suivi en continu de nos déplacements par des tierces parties.

A bug in cell phone tracking firm’s website leaked millions of Americans’ real-time locations – ZDNet – 2018-05-17

Ainsi, des spécialistes de l’Université Carnegie Mellon ont été en mesure d’exploiter une faille sur le site internet de la firme LocationSmart – laquelle consigne en continu la localisation des usagers de téléphones cellulaires aux Etats-Unis – pour accéder aux données en relation avec les déplacements de millions d’usagers dans leur vie de tous les jours.

A première vue, il apparaît surprenant qu’une firme ait accès aux données consignées chez les opérateurs de réseaux cellulaires et que, d’autre part, les serveurs consignant cette information présentent des vulnérabilités qui pourraient être exploitées à des fins « inappropriées ». Mais, le problème ne s’arrête pas là…

Les informations sur vos déplacements vendus à des tierces parties… même pour les usagers canadiens

Les mêmes spécialistes du site ZDNet relatent cette fois-ci une pratique commerciale peu connue pratiquée par les opérateurs de réseaux cellulaires: ces derniers permettent (« vendent ») un accès en continu aux paramètres de localisation de leurs usagers à des tierces parties tel que mis en évidence dans le précédent article:

US cell carriers are selling access to your real-time phone location data – ZDNet – 2018-05-14

A l’évidence, de telles informations doivent être mises à la disposition des autorités policières à des fins d’enquête, le tout sous la supervision des tribunaux. Par ailleurs, permettre à des tierces parties d’accéder à de telles informations – avec les risques de sécurité que cela implique – relève d’une pratique commerciale qui devrait être interdite de façon formelle.

Car, à l’évidence, l’accès à de telles informations par des intervenants « mal intentionnés » leur permettrait de se présenter à votre domicile… alors que vous êtes absent… et d’y exercer leurs activités illicites. Ou encore de suivre les déplacements de vos enfants et…

La sécurité de tous – et celle des enfants – remise en question par ces failles informatiques

Pour conclure ce billet sur le « IoT » (« Internet of Things« ), une pratique qui consiste à brancher en permanence des « biens d’usage courant » sur le réseau internet, rappelons cet autre cas mis en évidence en 2016 alors qu’un « bug » informatique dans les oursons en peluche – connectés par Wi-Fi sur le réseau internet – permettait de consigner les paramètres sur les enfants tel leurs noms, leurs dates de naissance et la fréquence d’utilisation de ces jouets. Et un autre « bug » dans une montre destinée aux enfants permettait de consigner la localisation des membres de la famille ainsi qu’un historique sur leurs déplacements.

Two newly discovered flaws light fire under IoT security – ZDNet – 2016-02-02

Le « IoT », une fonctionnalité désirable pour les usagers?

A l’évidence, les failles identifiées à ce jour remettent en question cette pratique qui consiste à connecter, en continu et en permanence, des objets de tous les jours – frigos, montres, tablettes,… – sur le réseau internet alors que les failles informatiques peuvent être « facilement » exploitées par des parties mal intentionnées.

Au surplus, et même si le niveau de sécurité est rehaussé, la mise au point de virus sophistiqués – tel « Industroyer » – nous révèle le fait que, malgré toutes les assurances qui pourraient être énoncées par les manufacturiers, la prudence s’impose avant d’acquérir des biens qui révèlent autant d’informations sur notre vie de tous les jours.