Smart by “accident”
Despite The title, This weblog entry is in French. I’m deeply sorry for beening too lazy ;-)
Je viens de finir la lecture de l’étude suivante :
A Spotlight on Security and Privacy Risks with Future Household Robots: Attacks and Lessons.
Celui-ci parle des risques et de la sécurité liés aux robots ménagers (je crois que c’est pas le bon lien ;-) ).
Pour résumer rapidement l’article, celui-ci a évalué le niveau de sécurité des robots : Rovio, Spykee et RoboSapien V2.
Le résultat est une véritable catastrophe d’un point de vue de la sécurité :
- des connexions sans fil, pas ou faiblement sécurisées ;
- non chiffrement des informations d’authentification ;
- apparition de nouvelles attaques.
Mais ce dont j’aimerais vous parler est l’idée que soulève les auteurs au début du document:
both thoses that we encountered and those that we foresee can be attributed partly to the fact that the home is becoming “accidentally” smart and that there is no dedicated, trained system administrator for the home environment.
Je vais dans ce billet illustré cette idée et me permettre de réfléchir à haute voix.
The incoming smart^Wobject
Ils sont minions, petits ou grands, utiles ou futiles.
ils s’appellent Roomba, Nabaztag ou Freebox.
Ils sont arrivés dans nos maisons progressivement.
Et les meilleurs pointent bientôt leur nez ;-)
Ils mettent en place progressivement le paradigme de l’Internet des objets et de l’Intelligence ambiante.
Early adopters
La cible 1ére de ses technologies sont les Geek, ce sont les seuls capables d’adopter ces technologies, d’accepter les problèmes liés à leur jeune âge et de les exploiter.
Les Geeks ont généralement les compétences nécessaires pour comprendre le fonctionnement de ces nouveaux objets.
Mainstream and Mrs. Michu
Ces objets arrivent progressivement chez Madame Michu et c’est la que cela devient intéressant.
Freebox
Commençons par la Freebox, voulez-vous. Car je trouve que c’est l un des meilleurs exemples d’intelligence accidentelle.
Des millions de foyers français ont reçus avec leur abonnement Internet une machin-box.
Celle-ci est équipée d’une liaison Wi-Fi qui n’est pas sécurisée, que cela soit en WEP ou WPA.
Du coup ces milliers de foyer se retrouvent propulsés dans le rôle d’un administrateur réseau.
Et s’ils n’ont pas les compétences nécessaires et que leur connexion est usurpée, ils se trouveront privé de leur droit d’accès Internet grâce à la loi HADOPI.
Roomba
Le robot aspirateur Roomba, dispose d’une forte puissance et il est capable de faire des dégâts important dans une maison si la pièce n’est pas préparée pour son passage.
Le mien dispose en plus d’une connexion Bluetooth dont je doute sérieusement du niveau de sécurité compte-tenu de la complexité du protocole.
Avec une bonne dose de Fuzzing, je pense qu’il est tout à fait envisageable de prendre le contrôle du robot à distance et de me ruiner le salon ;-)
Nabaztag
Continuons avec le Nabaztag.
J’aime beaucoup les lapins, mais je dois avouer que celui-ci me sort particulièrement par les oreilles compte-tenu des problèmes qu’il pose :
- La connexion Wifi qui pose les mêmes problèmes que la Freebox ;
- La centralisation, l’ensemble de l’intelligence du lapin se trouve sur les serveurs de Violet, ce qui signifie que si la société fait faillite, alors les lapins mourront ;
- Ce dernier point soulève de nombreux problèmes liés à la vie privé ;
The rabbit is sad, he wants to hug you
Je suis un des early adopters des ces technologies ( la domotique, la robotique, etc… ).
Mais je trouve que les utilisateurs et les constructeurs ne font pas assez attention aux implications et aux risques liés à ces technologies.
Est-ce que je ne vais pas un peu fort dans les accusations ?
Je pense qu aujourd’hui les histoires de robots qui volent des clés ou qui saccagent une maison peuvent faire sourire.
Mais imaginez les mêmes scénarios dans 5 à 10 ans et nous rigolerons un peu moins.
Mais quel est le principal problème ?
L’internet des objets va être déployé dans un nouvel environnement : votre maison.
C’est à dire un lieu privé, ou la fuite d’information et/ou les risques encourus peuvent avoir des conséquences très importantes.
We need Free hugs, free as software
Je pense que la seule voix possible pour l’Internet des objets est le logiciel libre.
Les points évoqués dans les exemples précédents peuvent être résolu qu’à l’aide de deux méthodes :
- la formation des utilisateurs ;
- et l’utilisation de logiciels libres.
Le 1er point est évident, je vais donc développer le second.
Comme le logiciel libre à largement prouvé sa supériorité en matière de sécurité informatique.
Il est donc le seul à pouvoir prétendre une place dans votre vie privé.
C’est la seule solution pour faire adopter ces évolutions.
Il existe aussi une solution basée sur le logiciel propriétaire et des nombreuses lois semblables à HADOPI permettant de cacher ces lacunes en matière de sécurité, mais je n’ai vraiment pas envie d’essayer ;-)
Tu veux dire quoi quand tu dis que le Roomba peut faire des dégats ? Je ne l’ai pas encore parce que j’attend les clés de mon appart là. Mais j’ai pas envie qu’ils bousille tout mon appart.
Par contre c’est clair que le bluetooth craint vraiment, il n’y a aucune sécurité là dedans et c’est bien dommage car on pourrait faire plein de trucs sympas avec ce protocole (intégré à la plupart des téléphones portables).
J’oubliai : “La centralisation, l’ensemble de l’intelligence du lapin se trouve sur les serveurs de Violet, ce qui signifie que si la société fait faillite, alors les lapins mourront ;” : c’est déjà arrivé… Je ne sais pas où en est le nabaztag depuis le rachat de Violet, mais bon, c’est clair que c’est un risque.
Mais il me semble qu’il y avait des serveurs opensource pour remplacer ceux de Violet, non ?
J’aurai pu être intéressé par un nabaztag, mais vu qu’il est limité au wifi… c’est même pas la peine d’y penser.
@Olivier : pour Nabaztag, je suis entièrement d’accord. Il leur manque clairement une version Ethernet.
Mais visiblement c’est très difficile de faire comprendre aux gens du marketing.
Pour la version “opensource” du serveur, à ma connaissance, il existe : jNabServer ( http://www.cs.uta.fi/hci/spi/jnabserver/ ) ou OpenNab ( http://sourceforge.net/projects/opennab/ ), mais aussi des outils sympa comme : http://nabaztools.sourceforge.net/nabaztools-fr.html
Il existe aussi l’alternative du Tux Droid ( http://www.tuxisalive.com/ ) mais : il reste encore une interface RF et il n’est pas suffisamment Kawaii, pour que je puisse le faire passer pour un cado à ma copine ;-)
@Olivier : aucun risque ! Un Roomba standand ne va faire aucun dégât. Par contre, si tu en prends le controle via le port ROI et tu le fait foncer sur un chat ;-) (non madame Bardot, je n’ai pas fait cela chez moi, je vous jure ;-) )
Oui, le wifi est à la mode, mais ils oublient le principal… tant pis, ils perdent des clients bêtement.
Et apparement, chez Violet, ils ne comprennent pas l’intérêt de l’ethernet : http://nabaztag.forumactif.fr/fonctionnement-du-nabaztag-f7/remplacer-wifi-par-ethernet-t8421.htm (DrBailey semble être de chez Violet/Mindscape, voir ses réponses qui ne donnent aucun espoir)
Et j’ai le même problème que toi : un lapin, ça passerai comme cadeau, c’est mignon :) Mais si j’offre un Tux, je me retrouverai vite célibataire… quoique, j’aurai plus de temps pour m’en occuper :o)
Merci, ça me rassure pour le Roomba :)
Je ferai attention avec le port ROI… enfin, j’essayerai de pas trop me planter. Et pour les chats, pas de soucis, ils ont l’air d’aimer : http://www.youtube.com/watch?v=LQ-jv8g1YVI (et il y a d’autres vidéos où l’on voit qu’ils sont heureux comme tout)