La plupart des commentateurs de la presse grand public sont d’accord : Shodan est un moteur de recherche « terrifiant » estiment tant Kashmir Hill pour Forbes que David Goldman pour CNN.

Shodan, le « terrifiant » moteur de l’internet des objets

Shodan (@shodanq) est un moteur de recherche spécialisé dans les objets connectés. Il en référence une multitude : des caméras et des webcams surtout, mais aussi des feux de signalisation, des appareils médicaux, des compteurs électriques, des moniteurs de bébé, des voitures, des contrôleurs cardiaques, des systèmes de contrôle du chauffage ou de la climatisation de maisons, de bureaux ou d’immeubles, des outils de mesure du glucose, des feux de signalisation, des éoliennes, des alarmes ou des centrales électriques… connectées à l’internet ! (voir la vidéo de l’intervention de Dan Tentler à Defcon 20 – @Viss – qui s’amuse à dresser un inventaire à la Prévert de ses découvertes comme une laverie de voiture qu’on peut éteindre à distance ou une patinoire danoise qu’on peut dégivrer d’un clic…).

Shodan est le moteur de recherche de l’internet des objets, mais cela n’en fait pas un objet très rassurant, au contraire. Il montre un avenir de l’internet des objets connectés bien moins rassurant que celui que racontent habituellement ses promoteurs. C’est assurément pour cela qu’il est intéressant : il met à mal la fable.

Kashmir Hill rappelle alors l’histoire du visiophone de bébé piraté qui a fait le tour du web cet été, un visiophone pour surveiller un bébé connecté à l’internet, commandé par un inconnu qui faisait bouger la caméra, parlait au bébé et insultait les parents à distance (voir l’histoire racontée par France 24 pour plus de détails).

« Google fouille les sites web, je fouille les objets », avoue John Matherly (@achillean), le fondateur de Shodan. A l’origine, Matherly pensait que son moteur serait utilisé par les pros des réseaux comme Cisco, Juniper ou Microsoft pour surveiller les produits de leurs compétiteurs. Mais il est surtout devenu un outil crucial pour les chercheurs en sécurité et les pirates à la recherche d’outils qui ne devraient pas être sur l’internet ou de dispositifs vulnérables.

Selon Ericsson, 50 milliards de dispositifs seront mis en réseau d’ici 2020. C’est ce qu’on appelle l’internet des objets. Matherly est le premier à rendre public ce « nouvel internet » dans un moteur de recherche public. « Je ne considère pas mon moteur comme effrayant », estime-t-il. « Il est plus effrayant de trouver des centrales électriques connectées à l’internet ».

Shodan permet de trouver des webcams avec une sécurité si basse, qu’il suffit de taper leur adresse IP dans un navigateur pour entrer dans la maison des gens, dans leurs bureaux, dans des salles d’opération d’hôpital… Dan Tentler, spécialiste en sécurité a construit un programme appelé Eagleeye qui trouve des webcams via Shodan, y accède et prend des images. Il en a trouvé près d’un million ! Shodan référence plus de 1,5 milliard de dispositifs connectés !

Après avoir trouvé une vulnérabilité dans un logiciel, Billy Rios, chercheur en sécurité chez Cylance a utilisé Shodan pour trouver des entreprises, des banques, des immeubles dont on pouvait prendre le contrôle des systèmes de chauffage, de climatisation ou d’éclairage. Il en a trouvé plus de 2000. Le département de la sécurité intérieur américain a révélé que des pirates avaient déjà utilisé ces capacités pour augmenter le chauffage d’une usine du New Jersey.

Les spécialistes de la sécurité, Charlie Miller (Wikipédia, @0xcharlie) et Chris Valasek (@nudehaberdasher), ont démontré ce que des hackers malintentionnés pouvaient faire à une voiture, rapporte Forbes : ils ont ainsi réussi à bloquer les freins à distance, changer les indicateurs de vitesse ou encore modifier un itinéraire affiché sur le GPS.

Image : ce qu’un pirate peut faire à votre voiture, via Forbes.

Shodan n’est pas vraiment un moteur de recherche pour le grand public. Il faut savoir quel type de « signature d’objets » vous cherchez (c’est-à-dire les métadonnées que les serveurs renvoient sur les objets qui lui sont connectés comme l’explique la FAQ de Shodan). Les résultats ne sont pas très lisibles pour le béotien. Shodan permet de montrer les erreurs que font bien des entreprises en configurant mal les produits qu’ils vendent ou celles que font les consommateurs avec les produits qu’ils achètent. Il nous rappelle que tout ce qui se connecte à l’internet devrait au moins être protégé par un mot de passe. Or la plupart des objets ne le sont pas ou alors avec un nom et un mot de passe par défaut trop courant (comme admin ou 1234… très facilement piratables).

Shodan expose ce que les experts en sécurité savent depuis longtemps : un grand nombre de périphériques connectés à l’internet ont été largement oubliés alors même qu’ils continuent cahin-caha l’exécution des tâches qui vont du plus banal à une mission critique.

Matherly espère que Shodan va permettre au public et aux entreprises de prendre conscience de leurs erreurs et de combien leurs systèmes sont parfois vulnérables. Mais il n’est pas très optimiste : « Tout finira sur l’internet, que vous le vouliez ou non ».

De l’internet des objets au web des objets

Certes, Shodan n’est peut-être pas le modèle du moteur de recherche de l’internet des objets de demain, notamment du fait de sa complexité d’utilisation… Mais il nous dit quelque chose sur la manière dont évolue l’internet des objets. L’internet des objets n’est déjà plus celui que portaient ses premiers visionnaires. Les objets ne bavardent pas entre eux, ils ne sont pas tant interconnectés entre eux que connectés via l’internet. Nous sommes loin des objets bavards qui promettaient discuter sans notre intervention ou de ces « blogjets » accessibles et évolutifs. L’internet des choses (internet of things) a été remplacé par une collection d’objets connectés à l’internet, mais pas reliés entre eux, dont on peut piloter quelques fonctions, mais qui demeurent peu évolutifs, et qui demeurent surtout accessibles à ceux qui les produisent. Votre balance peine à discuter avec votre podomètre. Et votre podomètre envoie bien plus d’informations qu’il n’en reçoit de la firme qui l’administre.

Plus qu’une interconnexion d’objets entre eux, l’internet des objets nous à conduit à une multitude d’objets connectés à l’internet – ou plus précisément, comme l’annonçait déjà Pachube devenu Xively, à une multitude d’applications -, qui à l’avantage de parfaitement fonctionner, mais dont l’asymétrie coupe une grande part des interactions possibles.

L’internet des objets est devenu un réseau d’objets web reliés d’une manière asymétrique via des applications ou des plateformes. Si votre capteur est connecté à une plateforme, il lui envoie des données, mais n’en reçoit quasiment pas d’elle (hormis peut-être des mises à jour).

Alors oui, nous pouvons dire « Bonjour » aux lampes de Bristol (vidéo), mais les données qu’elles recueillent ne sont accessibles qu’à ceux qui les ont installées. Nous sommes passés d’un modèle d’interconnexion directe des objets entre eux, de réseaux ad hoc d’objets à un modèle où chaque objet est relié à une plateforme web, qui gère ensuite, à son gré les interactions entre les objets. Cela permet certes d’accéder à des plateformes logicielles et matérielles suffisamment souples et ouvertes pour contourner les problèmes de normes et de standards dans lesquels s’empêtrent tous les projets d’interconnexion des objets, comme l’évoquait Fredéric Cavazza, mais cela nous conduit également à un autre internet des objets plus proche d’un web des objets que d’un réseau d’objets.

Michael Wolf pour GigaOM Pro ne disait pas autre chose. L’arrivée de gadgets connectés comme les prises et interrupteurs WeMo de Belkin, la serrure Lockitron ou le thermostat Nest pourrait accélérer l’arrivée de l’internet des objets, sauf que ces dispositifs n’en sont pas. Ils sont bien connectés à l’internet, mais demeurent isolés les uns des autres. Mais pour Michael Wolf, c’est par cette forme de connexion, c’est-à-dire via l’internet, que passera l’interconnexion des objets.

Vidéo : les vidéos promotionnelles de WeMo, de la serrure Lockitron et du thermostat Nest.

Même le Lab of Things, le système d’exploitation pour la maison que développe Microsoft qu’évoquait la Technology Review, qui fournit un tableau de bord pour surveiller et contrôler les différents dispositifs électroniques de la maison, permettant de construire des applications dédiées d’objets connectés, fonctionne sur le même principe : des objets discutant avec un serveur (ici domestique) pour pouvoir communiquer entre eux.

Certes, ces objets permettent dès à présent de transformer la maison, comme l’a fait Tom Coastes, qui a relié les capteurs de capteurs de sa maison à l’internet et à twitter (@houseofcoates), faisant de sa maison une « sorte d’animal de compagnie qui s’exprime » rapporte la Technology Review, un tamagotchi. Mais est-ce vraiment à cela que nous voulons que la maison de demain ressemble ? Voulons-nous juste savoir quand la machine à laver ou le lave-vaisselle fonctionnent ou ont fini leurs cycles ?

Image : Tom Coastes et les tweets de sa maison connectée, via Industrial Internet.

Ces objets connectés ont également un talon d’Achille : sans services web associés, ils meurent ! Nick Hunn, le responsable technique d’Onzo, une start-up énergétique, ne comprend pas le succès du thermostat Nest. Un thermostat programmable de base ne coûte que 20 $ quand le Nest se vend 250 $. Et le problème du Nest et de bien des objets connectés, est qu’ils ne sont pas qu’un produit, qu’un objet matériel, mais aussi un service. Qui soutiendra le service web dans la durée ? Un thermostat ou une serrure ne s’achètent pas pour quelques mois ! Votre thermostat connecté fonctionnera-t-il encore dans 10 ou 20 ans ? Qui va faire fonctionner les serveurs dédiés dans la durée ? Pour Andrew Rose, spécialiste des questions de sécurité au cabinet Forrester et auteur d’un rapport sur la question, les failles de sécurité de l’internet des objets sont nombreuses et la complexité des interconnexions pourrait rapidement dépasser notre capacité à les démêler, explique-t-il pour Wired. Mais plus que la sécurité, la continuité de service semble poser problème pour le développement de ce web des objets, qui est aujourd’hui le fait de start-ups certes innovantes, mais par essence fragiles.

Duke Chung pour la Harvard Business Review pose la question qui fâche : celle du service client à l’heure de l’internet des objets. Et le consultant d’avertir dès à présent les producteurs de produits (et de services). Il va leur falloir construire dès à présent des bases de connaissances plus solides, plus contextualisées et rendre les services plus faciles d’accès. Demain, les appareils devront être capables de prédire les problèmes liés à l’utilisation qui est faite d’eux, estime Duke Chung, qui est le cofondateur de Parature… une solution qui fournit des supports logiciels pour les services clients.

Même si son conseil est intéressé, force est de reconnaître que l’internet des objets web ne sera pas plus simple à construire que l’internet des objets. C’est peut-être un choix sage (pour permettre de passer au-dessus de la complexité des standards, pour permettre l’arrivée rapide de services, pour mieux gérer les interactions entre et avec les autres objets), mais c’est un choix qui place d’emblée ce web des objets dans une asymétrie d’échange qui risque de bénéficier plus à ceux qui fournissent le service qu’à ceux à qui il est fourni – c’est-à-dire nous, propriétaires ou locataires de ces objets du web.

Hubert Guillaud