Vous souhaitez en savoir plus ? N’hésitez pas à nous contacter
En septembre 2021, les étudiants de l'IMT Atlantique ont travaillé sur la rédaction de plusieurs articles traitant des enjeux de la cybersécurité au sein des bâtiments connectés. CYRISEA est fier d'avoir pu les accompagner dans ce projet et les remercie pour ce travail de qualité. Découvrez dès à présent l'un de ces articles.
QU’EST-CE-QUE LE SMART BUILDING, LE BÂTIMENT INTELLIGENT ?
Dans la plupart des pays européens, les bâtiments représentent la plus grande part de la consommation finale d’énergie et d’émissions de carbone. Au niveau de l’Union Européenne, ils contribuent à hauteur de 43% de cette consommation. Au sein de l’industrie du bâtiment, ce sont les deux tiers qui sont destinés aux bâtiments résidentiels (Odysee 2021).
Les bâtiments peuvent, bien entendu, économiser de l’énergie en améliorant la structure (huisseries, isolation, etc) mais aussi en utilisant des capteurs munis de commandes automatisées avec par exemple les technologies CVC (chauffage, ventilation, climatisation), l’automatisation avancée des bâtiments ou en analysant des données. Ces bâtiments sont appelés smart buildings. Les technologies employées dans les smart buildings fournissent des outils efficaces pour anticiper et réagir aux problèmes de confort et de rendement énergétique. Ceci se traduit par un meilleur entretien de l’équipement, la réduction de la consommation et des coûts d’énergie en plus d’une excellente qualité de vie.
COMMENT CA MARCHE ?
Le fonctionnement des smart buildings se fonde sur l’acquisition de données physiques grâce à des capteurs connectés qui, après traitement des données par un groupe d’agents, influera sur l’état d’un autre appareil connecté (ex : la durée de fonctionnement d’un climatiseur) le tout de façon autonome. Pour les agents, plusieurs choix s’offrent à eux concernant la surveillance des données : les logiciels PCVue ou Topkapi permettent de regrouper et traiter les données tandis que Deepki ou Energisme permettent une gestion plus intelligente et verte de ces dernières. Est-il possible de transformer tous les bâtiments en bâtiment intelligent peu importe le type et son âge ? Cette dernière question suscite de l’attention car les deux secteurs ne possèdent pas la même inertie au développement.
UN EXEMPLE INSOLITE ...
Actuellement, de nombreuses solutions sont envisagées pour le contrôle des systèmes. Pour certains modules ne nécessitant pas de traitements spéciaux, un contrôle local peut être plus économique et sûr tandis que pour d’autres, un contrôle à distance via internet est recommandé. Un bon exemple d’implémentation est le musée ”Fatahillah” de Jakarta, construit il y a quelques centaines d’années.
Il a été rénové avec l’introduction du concept de smart building. Dans ce cas particulier, le musée devait être en mesure de contrôler la lumière intérieure et la température afin d’assurer la conservation d’œuvres artistiques qu’il contient et réduire la consommation d’énergie par une gestion correcte de ces ressources. Pour régler la température, ils ont utilisé un système de climatisation. Pour le contrôle de la lumière, ils ont utilisé des systèmes de détection de mouvement. Ce type de réalisation montre qu’il est possible de mettre en œuvre cette technologie indépendamment de l’âge du bâtiment.
PEUT-ON SE FIER ENTIEREMENT A CES NOUVEAUX SERVICES ?
Equiper les structures, les entreprises ou les immeubles d’outils numériques permet de gérer plus aisément un patrimoine. Toutefois, ce dispositif peut générer des failles de sécurité. Une prise intelligente dont on peut contrôler l’état à distance, un réfrigérateur qui nous indique lorsque le temps de faire les courses arrive, un sous-réseau de thermostat et de conditionneur d’air qui régule automatiquement la température et la qualité de l’air ambiant, et bien d’autres exemples, sont autant des portes d’entrée dans votre réseau privé pour une personne malveillante. Si l’on considère que chaque IoT (Internet of Things) ou encore objet connecté possède un microprocesseur munit d’une version miniaturisée d’un système d’exploitation, alors il n’est pas surprenant que l’on retrouve des attaques qui fonctionnaient déjà sur nos ordinateurs ou téléphones. Très souvent, la faille de ces objets provient de leurs mots de passe facilement décodables, de l’absence de celui-ci ou encore de l’usage de protocoles de communication non sécurisés.
Un hacker peut scanner un ensemble de réseau et détecter un ensemble d’objets connectés au mot de passe trivial pour en faire une armée de zombie. En réalité, ce terme désigne les appareils impliqués à leur insu dans l’envoi de données vers un serveur web (ou une autre machine en général) jusqu’à ce qu’il plante. Cette attaque, communément appelée déni de service distribué (DDoS), fait partie des attaques par détournement de l’objet (hijacking).
Aussi, votre IoT peut être le réceptacle d’un envoi intempestif de courriels (spam). Dans le pire des cas, vos données intéressent le pirate qui implémentera alors une porte d´entrée (backdoor) dans votre objet connecté pour pouvoir observer votre trafic : voler les données de votre carte bleue par exemple.
Lorsque vos données personnelles sont en jeu, l’attaquant a tout un éventail de choix à sa disposition pour en profiter : usurpation d’identité (se faire passer pour un proche en dette pour demander de l’argent par exemple) ou vente de ces informations. Il faut à chaque inscription sur un site demandant des détails personnels insérer un mot de passe adéquat (long et avec des caractères spéciaux). De même que pour ce cher réfrigérateur intelligent qui peut stocker les données de votre carte bancaire pour procéder à des achats figurant sur votre liste de course de façon autonome.
COMMENT S’EN PROTEGER ?
Dans le cas général d’un réseau privé, la solution est de s’informer sur la sécurité des appareils que l’on achète : voir s’ils ont des systèmes d’authentification, vérifier comment paramétrer son mot de passe, toujours mettre à jour ses composants pour éviter l’exploitation d’anciennes failles, voir si les protocoles utilisés pour la communication sont chiffrés ou encore avoir un pare-feu efficace. De façon générale, il n’y a aucune raison pour qu’un pirate s’acharne sur votre réseau privé.
En pensant le réseau d’IoT comme un sous-réseau communiquant, il est aussi nécessaire de protéger le flux des données qui y transitent afin qu’il n’y ait pas de fuite de données personnelles. De façon duale, il faut filtrer les données entrantes afin d’éviter les cyberattaques. Cette question de positionnement de contrôle (i.e. dans quel appareil effectuer ce filtrage ?) nécessite de connaître la structure du réseau et ne peut se résoudre facilement. C’est pour cela qu’il est plus judicieux de faire venir des professionnels pour traiter ce plus de sécurité, en particulier pour les entreprises spécialisées dans le traitement de données qui ne peuvent se contenter de la protection minimale de leurs appareils.
UN DERNIER MOT ...
La numérisation des bâtiments est en cours de développement. Le concept des smart buildings peut être mis en marche pour rendre nos bâtiments toujours plus intelligents et assurer une consommation plus responsable d’énergie vis à vis de l’environnement. Il est impossible de nier certains inconvénients comme une attaque brute forcé sur les mots de passes ou encore le déni de service distribué. Cependant, ces menaces peuvent être maitrisées, notamment avec l’aide d’une équipe professionnelle telle que CYRISEA.
Andres Ricardo CESPEDES GARCIA - Mohamed Nassim LAADHAR - Cecilia DE SOUSA LUZ ALMEIDA - Yann MIGUET - Mouan Aude Olivia BAKAYOKO
[1] Just Go Indonesia “Fatahillah Square, Jakarta Take a journey back in time to the Dutch colonial era” [Online] : https ://www.justgoindonesia.com/fatahillah-square-jakarta-take-journey-back-time-dutch-colonial-era/
[2] Un gigantesque hacking Twitter mercredi 15 juillet 2020 [On-line] : https ://www.colibrimedia.fr/post/un-gigantesque-hacking-twitter-mercredi-15-juillet-2020
[3] ENERGY EFFICIENCY TRENDS IN BUILDINGS IN THE EU. Ody-see 2021 [Online] : https ://www.odyssee-mure.eu/publications/policy-brief/buildings-energy-efficiency-trends.html
[4] Smart Buildings : Using Smart Technology to Save Energy in Existing Buildings. J. King and C. Perry, 2017. [Online] : https ://www.aceee.org/sites/default/files/publications/researchreports/a1701.pdf
[5] S. Veleva and D. Davcev, ”User-Centric Quality Control System for Smart Home Energy Management,” 2012 Sixth International Conference on Next Generation Mobile Applications, Services and Technologies, 2012, pp. 217-222, doi : 10.1109/NGMAST.2012.33.
[6] An Application of Smart Building Concept for Historical Building Using Automatic Control System. Case Study : Fatahillah Museum url = https ://jurnal.umj.ac.id/index.php/IJBESR/article/view/2151
Inside the Smart Home : IoT Device Threats abd Attack Scenarios url : https ://www.trendmicro.com/vinfo/us/security/news/internet-of-things/inside-the-smart-home-iot-device-threats-and-attack-scenarios
[9] INE Cyber Security Week : IoT Hacking 101 - not so Smart Homes ... https ://www.youtube.com/watch ?v=fa9zuA-8e4U (UPnP, un protocole non sécurisé (cours donné lors d’un évènement)
