Pourquoi les prochains virus informatiques pourraient bien s’attaquer à votre corps ?

Atlantico : Un chercheur anglais s'est volontairement injecté un virus informatique chargé de corrompre une puce qu'il avait déjà implantée dans la main et qui lui permettait d'accéder aux bâtiments de son université et d'utiliser son téléphone. Il pouvait ainsi "contaminer" appareils électriques, et systèmes de sécurité grâce à sa main. Cette démonstration est-elle exceptionnelle et peu reproductible, ou est-il crédible que des hommes puissent être porteurs de virus informatiques qu'ils feraient circuler à des fins malveillantes ?

Michel Van Den Berghe : Si la démonstration est exceptionnelle, sa facilité d’exécution reste déconcertante. Elle démontre une nouvelle fois que la sécurité est totalement absente lors des développements de nouvelles technologies  et cela  quel qu’en soit le domaine. Dans votre exemple on parle de contaminer des serveurs de contrôle d’accès aux bâtiments mais imaginons la même démonstration sur des serveurs robotiques d’ une chaine de montage, de ceux chargés de réguler les débits d’une centrale EDF ou de lancer des missiles.

Un hacker américain avait déjà réussi auparavant à prendre le contrôle de plusieurs pacemakers programmés informatiquement, ce qui lui aurait permis, selon lui, de tuer les porteurs de ces appareils s'il le souhaitait. Malgré les évidents progrès qu'apportent les nanotechnologies, ne risquent-elles pas de faire apparaître une nouvelle criminalité contre les personnes ? Le développement des techniques, notamment dans le domaine médical, s'accompagne-t-il des sécurités nécessaires ?

Michel Van Den Berghe : La série américaine Homeland a repris ce scenario pour assassiner le président américain qui portait un pacemaker.

Avant il fallait une intervention physique du praticien pour reprogrammer un pacemaker. Désormais, cela se fait à distance. L’apport de la connectivité sans fil aux appareils médicaux est un véritable progrès mais aussi une véritable brèche en termes de sécurité.

Au-delà des engins implantables, ce sont tous les équipements hospitaliers qui sont désormais connectés aux réseaux et administrables à distance et, malgré les recommandations des agences de sécurité sanitaire, peu de moyens sont mis en œuvre par les constructeurs pour lutter contre les vulnérabilités de leurs nouveaux appareillages. Je serais curieux de connaitre la part consacrée à la sécurité dans les investissements colossaux actuels .

Bertrand Duperrin : Aujourd’hui, le risque sur les appareils médicaux implantés dans le corps est présent mais de façon marginale dans la mesure où tous ces appareils ne sont pas encore connectés. Demain, probablement beaucoup plus dans la mesure où ils vont l' être davantage afin de pouvoir transmettre en temps réel des données sur les constantes médicales des patients voire être paramétrables à distance par les médecins. Le risque est donc évident.

En réalité, les instruments médicaux connectés ne sont ni plus ni moins vulnérables aux attaques que n’importe quel appareil connecté :  ce qui est aujourd’hui une exception va devenir une norme. Ça n’est donc en rien une découverte mais c’est le domaine concerné qui rend le sujet sensible : un stimulateur cardiaque, par exemple, est un sujet beaucoup plus sensible que le piratage d’un frigo ou d’une cafetière.

Quels sont les appareils vulnérables? Est-ce une menace davantage pour les particuliers ou les hôpitaux ?  

Bertrand Duperrin :Tous les appareils le sont à partir du moment où ils sont connectés. Potentiellement tous dans un futur plus ou moins proche. Le risque vital est avant tout pour le patient bien sûr. Pour les hôpitaux c’est davantage un risque juridique et en terme d’image qui va être lié au piratage des appareils qu’ils installeront. N’oublions pas non plus les fabricants de tels appareils à qui on va demander un niveau de sécurité accru et qui au final se retrouveront responsables – au moins devant l’opinion publique – si des failles venaient à être constatées.

Comment l'attaque se manifesterait-elle concrètement ? Avec quelles conséquences ? 

Bertrand Duperrin : Comme pour tout appareil connecté la première chose qui vient à l’esprit est la prise de contrôle à distance de l’appareil pour nuire à son porteur ou le menacer. Ce que l’on croit relever d’une fiction ou sorti de l’imagination d’un scénariste un peu trop créatif (les amateurs de séries TV verront ce cas mis en scène dans la saison 2 de Homeland…) est en fait une réalité très plausible. Mais il y a également le risque plus pernicieux lié à la confidentialité des données médicales qu’ils peuvent transmettre. On pourra ainsi obtenir illégalement des données sur la santé de telle ou telle personne et certainement pas pour un usage spécialement moral.

On peut même aller plus loin et, sans parler même de piratage, imaginer la légalisation de ce type de pratiques. Les compagnies d’assurances en seraient surement friandes pour adapter leurs primes au risque réel voire résilier ipso facto un client dont les "chiffres" traduiraient soudain un risque nouveau. Au delà du coup fatal que cela porterait au sacro-saint principe du mutualisation du risque c’est le "Big Brother" d’Orwell qui va rentrer dans la vie des gens. On ne parle plus là d’un risque vital mais d’un risque davantage lié à nos valeurs et de ce qu’on est prêt ou non à sacrifier  en échange d’un service.

Peut-on améliorer la sécurité des appareils médicaux ? Si oui, comment ? 

Bertrand Duperrin : La sécurité des appareils médicaux ne diffère en rien de celle de tout appareil connecté. Maintenant c’est leur caractère critique qui va nécessiter des mesures autrement plus lourdes à mettre en œuvre sur l’appareil lui-même, le réseau auquel il est connecté et l’infrastructure qui opérera le dispositif.

Ces démonstrations ne sont-elles pas le signes que la multiplication des appareillages informatiques représente plus une menace qu'une sécurité ? Le saut vers les nanotechnologies – qu'un particulier ou même une entreprise ne peut pas vraiment réparer lui-même – n'est-il pas un nouveau pas vers une dépendance et une perte de maîtrise des individus ?

Michel Van Den Berghe : Tout risque, aussi faible soit-il, doit être éradiqué. Les nanotechnologies sont une source de progrès, notamment dans le domaine de la médecine. Mais elles soulèvent également de nombreuses interrogations en matière de sécurité mais aussi en termes de traçage des porteurs repérables grâce à leurs puces ou à leur OS embarqué.

On parle désormais de nano-simulations où, a l’aide de dispositifs électroniques, on pourrait simuler le cerveau et lutter contre la dépression, la boulimie et même pour les tétraplégiques contrôler un bras robotisé. Pirater et prendre la main sur ce type d’équipement permettrait donc de faire faire n’importe quoi à son porteur.

Ceci relance encore le débat classique voulant que des "petits malins" avancent plus vite que les entreprises pour déjouer les sécurités informatiques. Où en est-on avec la généralisation de ces nouvelles nanotechnologies sur cette question ? Un "petit génie" malveillant pourrait-il, avec beaucoup d'imagination, mettre à mal des systèmes entiers comme la première génération de hacker ? 

Michel Van Den Berghe : Nous ne sommes pas encore à l’ère de Data dans Star Trek  qui pétait un plomb de temps en temps et se retournait contre son camp !

Les capacités de stockage et de traitements des données devenues "infinies" n’offrent elles pas de nouvelles perspectives aux agresseurs de toutes natures, toutes motivations confondues ? Comment repérer un individu porteur "sous cutané" d’une puce de plusieurs tetra de s’enfuir avec des données stratégiques de l’entreprise ou de s’y introduire pour inoculer un programme malveillant ? La nanotechnologie ne sera-t-elle pas une arme plus accessible aux agresseurs disposant de moyens financiers limités ?

On peut tout de même y voir aussi une source de progrès en l’utilisant pour tracer les objets ou documents volés ou pour renforcer sensiblement les moyens d’identification ou d’authentification des individus dans la continuité du passeport biométrique.

Il est donc indispensable de penser sécurité à chaque étape du développement de nouvelles technologies . Hélas actuellement, les recommandations de l’État  auprès des professionnels et des fabricants de matériel se rapprochent toujours de celles rappelées systématiquement aux usagers d’Internet depuis des années : le renouvellement régulier des mots de passe, la surveillance de l’activité réseau suspecte, et la mise à jour régulière des logiciels utilisés . Nous sommes donc très loin de l’anti-virus ou du firewall injecté par intra-veineuse.