Les risques liés à l’usage des objets connectés

  • Histoire des objets connectés

Les « objets connectés », sont des biens que nous utilisons tous les jours, ils sont dotés de capteurs et de dispositifs d’échange de données, permettent de disposer à distance d’informations sur une partie de notre environnement, ou échangent de l’information pour produire un service (L’agence de développement et d’urbanisme au service du Nord Franche-Comté, 2015). La définition d’Internet des Things (IoT) qui nous semble aujourd’hui résumer le mieux ce phénomène est qu’il s’agit d’un réseau de réseaux, connectant des « choses » entre elles[1].

Concrètement, il s’agit d’objets dotés de capteurs et d’actionneurs, reliés à travers des réseaux de communication (Wifi, Bluetooth). Il y a d’abord les objets qui sont faits pour être connectés comme les ordinateurs, les tablettes ou les Smartphones (Jérôme Colombain, 2014). Il y a ensuite des machines qui ne l’étaient pas et qui le deviennent telles les voitures, les caméras de surveillance, etc. C’est le concept de « machine To machine ». Enfin, le plus étonnant ce sont tous les objets que l’on n’a jamais imaginé pouvoir communiquer entre eux tels que les vêtements, les pneumatiques ou encore les frigos.

Véritable phénomène mondial, l’histoire des objets connectés part de loin. Cependant les origines exactes sont assez floues. Le terme « Internet of Things » (en Français Internet des Objets) est né en 1999 au centre MIT (Massachusetts Institute of Technology), grâce à Kevin Ashton, un chercheur britannique. Son équipe lança la promotion d’une connectivité ouverte de tous les objets en utilisant les étiquettes RFID (Radio Frequency IDentification) (Histoire CIGREF, 2014). Ainsi, il a utilisé le terme en question pour désigner le lien qui existe entre la technologie RFID et l’internet.

Les premiers objets connectés n’apparaissent que dans les années 1990 (SYLVAIN Geoffray, 2014). Il s’agit de grille-pain, machines à café ou autres objets du quotidien. Les recherches dans le domaine ne décollent pas encore et il faut attendre 2003 ou Rafi Haladjian, entrepreneur français, qui grâce à sa société « violet » dont le slogan est « Let all things be connected », va créer une lampe DAL. Grâce à ses neuf LED’s (petites ampoules), le dispositif pouvait s’allumer de différentes couleurs en fonction de différents événements, liés à la météo, la Bourse ou encore les alertes Google.

Un peu plus tard, en 2005, Violet lancera le Nabaztag, qui deviendra l’icône des objets connectés. Ce lapin connecté en Wi-Fi peut déjà lire des mails à haute voix, émettre des signaux visuels et diffuser de la musique. La vulgarisation des objets connectée auprès du grand public va se concrétiser avec son essor dans plusieurs secteurs comme la logistique, l’automobile ou encore la maison (à travers la domotique).

Le développement des objets connectés aujourd’hui fait ici face à plusieurs problèmes. En effet, les données générées par ces objets connectés sont telles qu’ils deviennent problématiques. La solution à cela est le Cloud. L’association de ces deux phénomènes a aujourd’hui créé un nouveau paradigme, le « CloudIoT »[2].

Nous aborderons dans la suite les risques liés aux objets connectés.

  • Les risques liés aux objets connectés

L’internet des objets s’appuie sur des technologies existantes dont la maitrise n’est pas toujours à la portée de l’utilisateur final, c’est le cas dans une certaine mesure du Cloud pour les entreprises, des réseaux sociaux pour les particuliers, sans parler des usages mobiles (Smartphones). L’adoption rapide des appareils et des capteurs intelligents susceptibles de collecter des informations et de les envoyer dans le nuage appelle à s’intéresser aux différents risques inhérents à l’internet des objets. Du fait, nous porterons une attention particulière à la protection des informations personnelle sans omettre les risques d’ordre éthiques auxquels s’exposent les utilisateurs finaux.

  • La protection des informations personnelles

Si la collecte de données dans l’internet des objets suppose le suivi d’un appareil, le but consiste toutefois à comprendre le comportement de la personne derrière l’appareil tout en recueillant des renseignements précieux à son sujet, sur ses activités, ses déplacements et ses préférences. Les objets dans l’internet des objets peuvent être perçus comme une forme d’extension du corps et de l’esprit humain comportant des fonctions perfectionnées, comme une intelligence et un savoir intégrés (Groupe des politiques et de la recherche du Commissariat à la protection de la vie privée du Canada, 2016). Les capteurs intégrés aux objets interconnectés peuvent générer une quantité impressionnante de renseignements qu’il est possible de combiner et d’analyser, et à partir desquels on peut prendre des mesures, peut-être en l’absence de la responsabilité ou d’un consentement valable des intéressés.

De ce fait, plusieurs situations relevant de l’usage de ces objets interconnectés permettent d’illustrer les potentiels risques auxquels s’expose la vie privée de ces utilisateurs finaux.

C’est ainsi que les schémas de données de géolocalisation sur une longue période se rapportant à un appareil en particulier pourraient révéler de l’information sur le lieu où l’appareil se trouve à certaines périodes du jour ou de la nuit et, par ricochet, le lieu où une personne travaille ou habite[3].

De même, il existe des modèles d’affaires dans le secteur du commerce qui combinent et agrègent des données recueillies en ligne et hors ligne afin d’élaborer des profils de consommateur. La combinaison de données de géolocalisation et de renseignements recueillies en ligne et hors ligne et liées à l’historique d’achat et à la navigation sur internet pourrait brosser un portrait détaillé d’une personne, fournissant notamment des renseignements de nature sensible sur ses finances, ses achats ou ses intérêts.

Prenons, par exemple, les questions entourant la transparence dans la collecte des données à l’intérieur même des maisons, c’est-à-dire l’endroit où nous passons la plus grande partie de notre temps lorsque nous ne sommes pas au travail ou à l’école. C’est également le lieu que nous considérons comme le plus intime. Pourtant, l’introduction d’appareils connectés modifiera forcément en profondeur la manière dont nous menons notre vie privée.

Les dispositifs intelligents résidentiels peuvent eux aussi en révéler beaucoup sur le nombre de personnes qui vivent dans la maison, leurs habitudes quotidiennes et les changements dans leur routine. Dans le cas des compteurs intelligents, on craint que le déploiement à grande échelle ait mis l’accent sur l’économie d’énergie au détriment de la protection de la vie privée. En l’absence d’un cadre qui donne clairement au consommateur le choix et le contrôle et qui fixe des règles strictes en matière de collecte, d’utilisation et de communication des données, l’information obtenue pourrait être utilisée aux fins d’exploration de données, de réclamation d’assurance ou de litige, pour ne nommer que quelques-uns des usages secondaires potentiels.

Les dispositifs intelligents pour la maison et leurs applications connexes transmettent également des renseignements à leurs fabricants, et on ne sait trop les fins auxquelles ces derniers destinent ces données et à qui ils les communiquent. Les dispositifs activés par la voix, s’ils sont réglés en « mode activation », pourraient transmettre aux fabricants des conversations entre utilisateurs. Si l’information est transmise par l’entremise de téléphones intelligents, les fournisseurs de services internet auront accès à ces données, qui pourraient être communiquées aux autorités chargées de l’application de la loi en réponse à des demandes d’accès légal.

Les consommateurs et les organisations se tournant de plus en plus vers les dispositifs et les capteurs connectés à internet, nous assistons à une multiplication des points vulnérables aux attaques. Une attaque sur l’un de ces dispositifs interconnectés pourrait permettre à un pirate non seulement de prendre le contrôle d’un appareil, mais également de s’en servir comme porte d’entrée pour avoir accès à toutes sortes de renseignements personnels.

Cibles et acteurs passifs, les consommateurs peuvent raisonnablement craindre que le respect de leur vie privée soit fortement compromis.

  • Les problèmes d’éthiques

Ancrée dans les habitudes de nombreux individus, ménages, entreprises, l’utilisation des objets connectés suscite plusieurs interrogations. Une de ces questions essentielles repose sur le devenir ou l’usage qui est fait des informations personnelles collectées sur un utilisateur tout au long du fonctionnement de l’objet connecté. Ainsi, on peut imaginer par rapport à ces données des usages à des fins commerciales, d’espionnage, de surveillance, et ce à l’insu de leur propriétaire. C’est de là que se pose la question de l’éthique en ce qui concerne les objets connectés.

L’usage de ces données à des fins non éthiques est d’autant plus dangereux que :

  • Les systèmes d’information présentent des vulnérabilités.
  • Les manœuvres d’espionnage, de vol et de piratage de données se multiplient.
  • Les fabricants des objets connectés externalisent et confient la gestion de ces données à des sous-traitants ou à des services externes.
  • Les producteurs, souvent des PME voire des start-ups, risquent de se faire racheter par des entreprises géantes et donc d’être contraints de partager ces données avec les acquéreurs.

D’après lui, il est de l’ordre de l’éthique de s’interroger sur l’exploitation de ces données lorsque qu’on sait que dans certains cas, les usagers sont amenés à approuver des contrats sans réellement avoir une connaissance profonde du fond, mais aussi parce qu’ils sont amenés à renseigner des informations à forte sensibilité, car faisant grandement confiance à ces technologies.

 À titre d’exemple, voici énoncé quelques effets pervers d’une mauvaise utilisation des objets connectés et plus précisément de celle ayant trait à l’identification à l’instar de la technologie RFID (André Thomas, 2009).

  • Automatisation

              Un lecteur installé dans une zone publique ou dans une entreprise garde sous contrôle dans une certaine mesure des personnes ou des objets. Un lecteur peut ainsi contrôler toute une zone.

  • Identification

Au passage sous le lecteur ou dans le champ de lecture pour les technologies de géolocalisation, il est possible d’identifier de manière statique, voire évolutive, les entités. Les porteurs de tags ont ainsi « l’obligation de collaborer », dans la mesure où des informations peuvent être « forcées » sur les tags à l’insu des porteurs.

  • Intégration

Les tags peuvent aujourd’hui être plus ou moins intégrés aux porteurs (cousus dans un col de chemise, collé sur un objet, voire intégré dans la matière). Ils sont donc plus ou moins visibles, plus ou moins à la connaissance des porteurs.

  • Authentification

Les tags peuvent alors servir à l’authentification, via des informations privées des porteurs, ceci pour un usage de gestion de la santé, pénal ou de contrôle de la vie privée.

Ainsi la lecture de ces tags peut induire des problèmes d’interrogation clandestine s’il n’y a pas consentement de l’individu (voire même de connaissance du fait).

Le fait d’être aussi sous contrôle, ou sur écoute, en permanence relèverait plus de l’espionnage que du contrôle de traçabilité fonctionnelle.

Par Marco Takam, promotion 2017-2018 du M2 IESCI

[1] Angélique, Vernier 2016. “Bref État Des Lieux Sur L’iot (Internet of Things),”

[2] Botta, Alessio; Walter de Donato; Valerio Persico and Antonio Pescapé. 2015. “Pii: S0167-739x (15) 00301-5 Doi: Http://Dx. Doi. Org/10.1016/J. Future. 2015.09. 021 Reference: Future 2851 to Appear In: Future Generation Computer Systems Received Date: 22 November 2014.”

[3] Groupe des politiques et de la recherche du Commissariat à la protection de la vie privée du Canada. 2016. “Introduction Aux Enjeux Relatifs À La Protection De La Vie Privée Dans Le Commerce De Détail Et À La Maison,”

RÉFÉRENCES

Angélique, Vernier 2016. “Bref État Des Lieux Sur L’iot (Internet of Things),”

Botta, Alessio; Walter de Donato; Valerio Persico and Antonio Pescapé. 2015. “Pii: S0167-739x (15) 00301-5 Doi: Http://Dx. Doi. Org/10.1016/J. Future. 2015.09. 021 Reference: Future 2851 to Appear In: Future Generation Computer Systems Received Date: 22 November 2014.”

Colombain, Jérôme. 2014. “80 Milliards D’objets Connectés En 2020. Pour Quoi Faire ?,” franceinfo.

Geoffray, SYLVAIN. 2014. “Histoire De L’internet Des Objets Au Fil Du Temps.”

Groupe des politiques et de la recherche du Commissariat à la protection de la vie privée du Canada. 2016. “Introduction Aux Enjeux Relatifs À La Protection De La Vie Privée Dans Le Commerce De Détail Et À La Maison,”

Sarah Domun. 2016. “Ethique Et Objets Connectés : Enjeux Et Pistes De Réflexion,”

Histoire CIGREF. 2014. “Histoire Des Objets Inanimés Aux Objets Connectés.”

L’agence de développement et d’urbanisme au service du Nord Franche-Comté. 2015. “Les Objets Connectés : Enjeux Et Perspectives,”

Thomas, André. 2009. “Rfid Et Nouvelles Technologies De Communication; Enjeux Économiques Incontournables Et Problèmes D’éthique,” 6ème Conférence Internationale Conception et Production Integrées, CPI’2009.

 

Admin M2 IESC