Le Japon cherche à exposer la vérité inconfortable de la vulnérabilité de l'IoT

À la mi-février, le gouvernement japonais prévoit de commencer ouvertement piratant plus de 200 millions d'appareils IoT déjà installés à la maison et ailleurs au Japon.

Le plan du gouvernement - annoncé il y a une semaine - est susceptible d'exposer la vérité inconfortable connue de nombreux experts mais inconnue de la plupart des consommateurs :de nombreux appareils IoT en cours d'utilisation sont vulnérables aux cyberattaques.

L'insécurité dans l'IoT est déclenchée par de nombreux facteurs, notamment l'indifférence et l'inaction des consommateurs. Trop souvent, les consommateurs ne prennent pas la peine de modifier les paramètres initiaux d'un appareil IoT après l'achat et l'installation. Deuxièmement, la communication peer-to-peer entre les appareils IoT, par nature, reste incontrôlée et non supervisée. Troisièmement, les fournisseurs de services n'effectuent pas assez fréquemment de mises à jour automatisées du micrologiciel.

Alors que les experts en sécurité saluent le plan du gouvernement japonais comme une étape nécessaire, de nombreux médias japonais ont hésité, critiquant la main de fer du gouvernement.

Les critiques qualifient cette action de violation de la vie privée des citoyens. En effet, qui est à l'aise avec l'idée que le gouvernement scrute chaque vie personnelle ? Deuxièmement, la plupart des gens ne font pas confiance au gouvernement pour protéger les données collectées. Comment être sûr que le gouvernement n'exposera pas certaines données, même involontairement ? Enfin, les Japonais nourrissent la crainte indéniable que le Japon devienne une nation de surveillance au nom de la sécurité publique. Le Japon devient-il la Chine ?

Dans son annonce publique, l'Institut national des technologies de l'information et des communications (NICT) a déclaré qu'il utiliserait des mots de passe par défaut et d'autres tactiques pour tenter de pirater des appareils IoT sélectionnés au hasard, cherchant à compiler une liste d'appareils vulnérables.

Les NTIC partageront ensuite l'information avec les fournisseurs d'accès à Internet, qui seront avisés d'alerter les consommateurs et de sécuriser les appareils. Le gouvernement n'a pas spécifié les appareils IoT ciblés, mais il commencera très probablement par des routeurs et des webcams. Le NTIC a déclaré que le programme pourrait durer jusqu'à cinq ans.

Bien sûr, le gouvernement japonais a une couverture parfaite. Son excuse pour cette escalade Big Brother est les Jeux olympiques de Tokyo en 2020.

Lors de tout événement international majeur comme la Coupe du monde ou les Jeux olympiques, il n'est pas rare de voir des experts en sécurité et des agences gouvernementales émettre une rafale d'alertes de cybersécurité. L'attentat de Mirai est également frais dans la mémoire nationale. Dans ce cas, les logiciels malveillants ont transformé les appareils en réseau exécutant Linux en robots contrôlés à distance, qui sont devenus un botnet pour les attaques de réseau à grande échelle. Les cibles principales de Mirai étaient les appareils grand public en ligne tels que les caméras IP et les routeurs domestiques.

Tanner Johnson, analyste en cybersécurité spécialisé dans l'IoT et les technologies de transformation chez IHS Markit, considère le plan de piratage du gouvernement japonais comme « une simple précaution proactive ».

Il nous a dit :« Un événement tel que les Jeux olympiques est garanti d'entraîner un afflux de millions de personnes dans le pays soulève des problèmes de sécurité globale. Il a noté :« Les individus technologiquement naïfs ou ignorants peuvent mettre en danger les systèmes tangentiels auxquels ils peuvent être connectés s'ils sont ciblés. Les pirates informatiques ne s'attaquent pas aux individus les plus forts d'un groupe connecté, car cela demande trop d'efforts. Ils ciblent les membres les plus faibles afin d'infiltrer tout le troupeau. »

Pourtant, les sceptiques demandent si le plan n'est qu'un exercice pour les Jeux olympiques ou s'il pourrait servir à d'autres fins pour le gouvernement.

Interrogé par EE Times sur le plan de piratage du gouvernement japonais, Gaku Ogura, directeur national d'AnyConnect, a posé une question :« S'il s'agit de renforcer la sécurité à l'approche des Jeux olympiques de Tokyo, je me demande pourquoi le gouvernement dit que ce programme pourrait durer jusqu'à cinq ans. »

Pourquoi cinq ans ?

AnyConnect offre une plate-forme conçue pour permettre aux fabricants d'appareils et aux fournisseurs de services de développer et de gérer des appareils vidéo IoT, y compris des caméras connectées et intégrées. Ogura a reconnu que dans de nombreux cas, les consommateurs japonais ne prennent pas les mesures élémentaires pour modifier les mots de passe par défaut de leurs appareils connectés à Internet.

D'autres observateurs soupçonnent que le gouvernement japonais essaie vraiment de savoir ce qui se passe avec les technologies Huawei utilisées dans les réseaux et les équipements de réseau.