Cybersécurité : Des menaces grandissantes dans un monde où tous les objets deviennent connectés

Dans la lignée de la révolution du smartphone, le monde qui nous entoure devient de plus en plus connecté : il y a aujourd’hui déjà 8 milliards d’objets connectés et les estimations d’experts prévoient jusqu’à 50 milliards d’objets à horizon 2020. Ces nouveaux objets ne sont pas toujours sécurisés et constituent pourtant autant de points d’attaques au niveau du réseau global qu’est internet.

Stéphane Perrin : Aujourd’hui il existe des télés connectées, des frigidaires connectés, des montres connectées, même des pèse personnes connectés. Il semble que ça devient des objets courants et inoffensifs. Bernard Benhamou, quels sont aujourd’hui les risques liés à ces objets connectés ?

Bernard Benhamou : Le risque évolue : jusqu’à présent on avait des objets connectés qui pouvaient le cas échéant servir à des attaques visant d’autres systèmes informatiques, d’autres serveurs, désormais le nouveau risque avec les objets connectés c’est qu’on peut s’attaquer à l’utilisateur lui-même.

Par exemple, ce que l’on a vu en octobre dernier où des dizaines de millions d’objets connectés ont été utilisés pour attaquer Dyn et ainsi faire tomber des sites comme Facebook, Amazon, Airbnb ou encore le service de jeu en ligne de Sony. Ce n’est qu’un début, à terme on aura autour de nous des objets qui pourront non pas simplement s’approprier nos données, ce qui est la première des choses, mais aussi effectivement remettre en cause le fonctionnement d’une entreprise, la sécurité d’une personne ou la sécurité des transports. C’est pour cela que la vision des risques doit être intégrée en amont dès la conception de ces objets connectés avec des logiques de “privacy by design” et donc de “security by design”. À terme je suis convaincu que la sécurité et la protection des données seront le même secteur. Ils n’ont pas été conçus comme tel au niveau technique pendant longtemps mais elles devront l’être dans les années à venir. Plus encore, une coordination de la régulation devra se faire entre des agences qui jusqu’à présent n’avaient pas vocation à se parler. Il est clair que les grandes agences françaises, européennes et internationales devront se coordonner sachant qu’il y a un acteur qui a changé les règles en jouant avec le feu : l’’État américain. En effet les agences de renseignement américaines ont joué avec la sécurité même des protocoles de la cryptographie. Concernant les objets connectés, la NSA finance un des premiers fonds qui ambitionne de créer des normes de sécurité pour les objets connectés. On s’imagine assez facilement que ce n’est pas seulement pour des questions de résilience, mais aussi pour des questions de surveillance.

Dans le transport, la voiture connectée est déjà une réalité et la voiture sans pilote est pour demain. On a déjà vu plusieurs hackings de voitures, poussant les fabricants à réagir mais trop tardivement. À terme les dizaines ou centaines de milliers de voitures connectées et sans pilote pourraient devenir une arme de destruction massive à coût 0. C’est-à-dire qu’un attaquant n’aurait même plus besoin d’être sur le territoire pour créer des menaces physiques contre les personnes, et cela à très grande échelle.

À ce niveau là, la préoccupation de sécurité n’est pas optionnelle, elle doit être essentielle et il est évident que nous en sommes encore très loin. Cela deviendra impératif dans le domaine des transports mais également dans le domaine de la santé. Il nous faudra à l’avenir aller beaucoup plus loin en termes de codification des niveaux de sécurité que ce qui peut exister aujourd’hui.

Stéphane Perrin : Clément Saad, vous êtes expert en sécurité mobile. Quelles sont pour vous les risques liés aux objets connectés, plus particulièrement pour les sociétés ?

Clément Saad : Pour commencer, il faut bien comprendre que les objets connectés font déjà partie de notre monde, par exemple, les smartphones et les tablettes sont des objets connectés. A l’avenir, nous allons avoir une généralisation de ces terminaux qui vont prendre différentes formes : montres, électroménager, etc. Le mode d’interaction avec ses objets connectés passeront par des applications mobiles, ces applications seront donc soit directement embarqué sur l’objet connecté ou bien sur un autre objet déporté. Typiquement, pour la voiture connectée il semble logique qu’on ait un écran avec des applications qu’on pourra utiliser directement. En revanche, pour une montre l’application sera sur un smartphone qui permettra de piloter l’objet.

Le point d’entrée de l’utilisateur étant l’application mobile, le contrôle de l’application est ainsi essentiel pour savoir quelles informations l’application va récolter et particulièrement ce qu’elle va en faire.

Dans les entreprises les objets connectés seront bientôt également partout. J’ai vu récemment l’exemple d’une usine où les employés utilisent des lunettes connectées pour scanner les code barre des colis entrants. La sécurisation de l’objet connecté est ici crucial car il a accès à énormément d’informations sensibles. Ce type d’objets connectés étant amené à devenir de plus en plus courant, il est absolument nécessaire pour les entreprises de s’assurer que ces objets et les applications qui les pilotent soient sécurisés…

Stéphane Perrin : Les risques sont donc de plus en plus grands et avec un impact toujours plus important. Comment sommes-nous arrivés à une telle situation ? Pourquoi les objets ne sont-ils pas sécurisés ?

Clément Saad : Pour le moment les démonstrations de hacking les plus spectaculaires ont été réalisées par des chercheurs en laboratoire. Dès qu’on aura atteint un nombre critique d’objets connectés non sécurisés alors il y aura un très fort intérêt pour les pirates à s’y intéresser. Aujourd’hui par exemple, il y a plus d’attaque sous Windows que sous Linux car il y a un nombre de PC plus important qui utilise Windows. Les pirates sont fainéants et ne veulent pas perdre de temps à attaquer des systèmes qui ne le “seraient pas rentables”. Tant qu’on a pas atteint le palier d’une véritable industrialisation massive des objets connectés il n’est pas trop tard, on peut encore réagir.

Bernard Benhamou : On commence tout de même à voir les premiers effets de ces objets non sécurisés. L’attaque d’octobre dernier utilisant le botnet Mirai était la première à utiliser des objets connectés. C’était une attaque massive qui a causé des dommages considérables en terme de fonctionnement de l’Internet et qui a notamment fortement pénalisé plusieurs sites Américains. Ce qui est sûr c’est que ce type d’attaque va se reproduire à l’avenir. On est peut-être pas encore à la phase d’attaques massives mais la sécurité des objets connectés est déjà un angle mort qui est utilisé par des pirates.

Stéphane Perrin : Aujourd’hui les entreprises peuvent vendre des objets connectés qui ne sont pas sécurisés en toute impunité. D’après ce que vous nous expliquez, cela revient à créer des réseaux potentiels de botnet de plus en plus puissants. Est-ce qu’il n’y a pas là un rôle à jouer de l’État voir de l’Europe ?

Bernard Benhamou : La réponse courte et oui. La réponse longue et que l’on a pas voulu ralentir le secteur industriel. On peut faire le parallèle suivant : pendant longtemps de nombreux industriels ont perçu les demandes de la CNIL comme étant un ralentisseur dans leur process industriel. Avec l’affaire Snowden, les gens se sont rendus compte que la protection des données avait du sens y compris par rapport aux activités des entreprises. Pour ce qui est de la sécurité des objets connectés, il faut bien comprendre qu’il y a toujours un arbitrage à faire entre le surcoût généré par l’introduction de systèmes de sécurisation (cryptographie, authentification ou autre système de sécurité ou de désactivation des objets) et le prix que les acheteurs sont prêts à payer.

Aujourd’hui le problème est que la plupart des objets connectés vendus ne possèdent même pas techniquement de dispositifs permettant la mise à jour en cas de découverte d’une faille de sécurité. Dans le domaine médical cela a longtemps été déploré et on avait des objets connectés qui étaient de véritable passoires informatiques. Il y a là un effort qui n’a pas été réalisé car on ne voyait pas venir la menace.

A l’avenir, il faudra qu’il y ait une coordination industrielle et avec les états pour mettre en œuvre des niveaux de sécurité, des programmes de certification, des label de sécurité.

Idéalement cela doit se faire au niveau européen, cela serait beaucoup trop compliqué à gérer pays par pays et beaucoup trop lourd pour les entreprises à mettre en place. On doit aller vers ce type de régulation, la commission européenne ne l’a pas encore fait mais il y a déjà eu des discussions à ce sujet lors du vote de précédents textes.

Dans un futur proche, nous serons obligés d’en arriver à ce type de régulation et il sera important de le faire de manière intelligente. Il va falloir une forte coordination entre les industriels et les différentes agences publiques afin d’avancer en ce sens.

Ces nouvelles régulations peuvent également devenir un levier économique majeur pour les acteurs européens de secteur. En effet aujourd’hui notre position de retrait par rapport aux grands acteurs américains fait que l’on doit à tout prix essayer de créer une génération d’entrepreneurs et des technologies d’objets connectés qui intègrent cette sécurité et cette confiance dès leur conception. Cela sera pour nos produits un argument commercial et un argument de différenciation au niveau mondial qui sera essentiel si nous savons nous en saisir.

Stéphane Perrin : Clément, dans le domaine du mobile il me semble que vous aviez justement œuvré en ce sens. Pouvez-vous m’en dire plus ?

Clément Saad : Depuis déjà plusieurs mois, Pradeo défend l’idée d’un label de sécurité. L’idée serait d’attester qu’une application mobile ne va pas menacer votre vie privée, ne va pas voler vos coordonnées bancaires ou générer une attaque sur le téléphone ou l’infrastructure à laquelle elle est connectée. Comme Bernard, je pense qu’on doit aller vers ce type de mesures. On a avancé assez loin sur le sujet et rencontré plusieurs ministres concernés, tous ont dit que c’était génial mais sans une véritable volonté de l’État le sujet ne peut avancer.

_____________________

Bernard Benhamou est secrétaire générale de l’Institut de la Souveraineté Numérique

Clément Saad est fondateur et président de Pradeo

Cet article fait suite à l’événement Totem Cybersécurité du 27 avril 2017 organisé par Le Hub Bpifrance. Prochains événements : http://www.bpifrance-lehub.fr/

Show your support

Clapping shows how much you appreciated Stéphane Perrin’s story.