Captation des temps dans les Facility Services : gare à la sécurité des objets connectés

Depuis que nous travaillons sur le sujet de la captation des temps dans le Facility Management, nous pensions avoir tout vu.

Mais quelle ne fut pas récemment notre surprise de découvrir à quel point le flou et le manque de compréhension qui règne dans le domaine de l’IoT (les objets connectés, pour le dire autrement) ouvrait des brèches de sécurité à peine croyables.

Au nom de la hype “digitale”

Histoire vraie : un prestataire avait installé des “pointeuses digitales” sur les sites des clients d’un Facility Manager réputé. Un écran tactile, rien de tel pour impressionner des clients en mal de “reconnaissance digitale”.

Ces objets, installés par exemple dans des agences bancaires ou d’assurance, avait l’inconvénient de nécessiter une prise électrique, ce qui est déjà assez problématique.

Des smartphones low cost en guise d’objets connectés

Smartphones As An Object - Photo by Franck on Unsplash

Mais là n’était pas le plus grave. Nous avons découvert qu’il s’agissait en réalité de smartphone bas de gamme maquillés en “pointeuse nouvelle génération”, et dont l’accès aux données n’était pas protégé. Vous voyez le problèmes ? Non ? On vous explique.

1. Vous mettez dans une entreprise un dispositif muni d’un micro et d’un appareil photo, connecté en permanence à Internet par 3/4G, sans aucune restriction ni contrôle, bypassant ainsi toutes les sécurités existantes.
2. La communication étant bi-directionnelle, il est potentiellement possible de prendre le contrôle du dispositif à distance.
3. Si le téléphone est volé, vous avez à l’intérieur l’intégralité du planning de passage du personnel détaché.

Rappelons donc les règles indispensables pour assurer la sécurité d’un tel dispositif :

1. Privilégier les connections LPWAN (Sigfox / LoRaWAN), qui ne peuvent pas transmettre des sons ou des images (trames limitées à quelques octets), et ne sont pas conçues pour des communications bidirectionnelles
2. Ne pas stocker les données sur le dispositif, sauf à mettre en place des mécanismes de sécurité audités.
3. Avant d’installer une chose pareille, un dernier conseil : ouvrez la boite, et regardez ce qu’il y a dedans.

Et si vous ne voulez pas avoir un procès pour espionnage commercial sur le dos dans quelques années, vous pouvez installer des pointeuses et badgeuses Skiply.