Alerte sur les objets connectés : les oublis élémentaires concernant leur sécurité risquent de créer un chaos

Atlantico : Les objets connectés font de plus en plus partie de notre quotidien qu'il s'agisse de la montre ou du réfrigérateur connecté. En quoi ces objets sont ils susceptibles d'être dangereux selon vous ?

Fabric Epelboin : Comme toute technologie connectée à internet, on peut interagir avec depuis l'extérieur et potentiellement en prendre le contrôle ou en exfiltrer des données. Le premier "danger" que posent les objets connectés, c'est évidemment le risque d'une surveillance accrue de la population, et la plupart des objets connectés sont concernés, qu'il s'agisse de surveillance d'Etat (votre compteur électrique connecté révèle bien des choses sur vous) que de surveillance privée (votre assurance aimerait bien en savoir plus sur votre alimentation via votre frigo et votre santé via votre pèse personne). Mais cet aspect a été traité en long et en large, je vais plutôt m'attarder ici plus sur les dangers physiques ou juridiques immédiats que sur les dangers politiques.

Car si l'objet peut être en soit dangereux, comme un four ou un chauffe eau, alors un tiers pourrait en prendre le contrôle de façon malintentionné. Regardez par exemple ce que l'on peut faire comme dégâts avec une chauffe eau dont on perturbe délibérément les réglages. Dans cette vidéo, issue de l'émission Mythbusters (diffusée sur RMC Découverte), on a pris le contrôle du thermostat d'un chauffe eau en désactivant ses systèmes de sécurité. Le résultat est édifiant : on peut tout à fait envisager de détruire un immeuble en s'attaquant à un chauffe-eau. Or on est ici dans un cas de figure parfaitement envisageable en termes d'objet connecté. Si le contrôle de chauffes-eau connectés était centralisé, on pourrait réguler de façon très fine la consommation électrique d'un immeuble, voir d'un quartier, faisant baisser de façon significative son pic de consommation, ce qui aurait un effet très positif sur les besoins en terme de production énergétique, et par extension, sur la pollution et les investissements en matière de centrales électriques. Un argumentaire séduisant, mais si l'on passe à coté de la sécurité, les effets secondaires pourraient être dramatiques.

La ville connectée connait le même problème - ce n'est après tout que l'extension des objets connectés à l'espace urbain : la sécurité n'a pas du tout été prise en compte, et on se prépare à une multitude de catastrophes, faute d'avoir investit à temps et en persistant à jouer l’autruche. Moins dramatique, si votre système d'alarme est connecté, alors certaines failles pourraient permettre de le désactiver à distance pour le rendre inopérant. Il en va de même pour votre voiture. Toujours en matière d’automobile, des chercheurs en sécurité informatique on récemment démontré qu'il était possible de perturber la trajectoire d'une automobile connectée. Utilisé de façon malintentionnée, cela permet à quelqu'un de tuer ses occupants très discrètement.

Pourquoi la sécurité de ces objets n'a-t-elle pas été développée ?

Les objets connectés, comme d'ailleurs l'essentiel des technologies que nous utilisons quotidiennement, ne sont pas sécurisés sérieusement pour de multiples raisons. Tout d'abord, la sécurité a un coût, et tant que le danger n'est pas perceptible, personne n'est prêt a payer - je pense qu'au vu la situation actuelle en France, et du dérapage budgétaire annoncé récemment par le gouvernement suite aux attentats du 13 novembre, tout le monde est en mesure désormais de comprendre cela. Nous vivons sur des technologies qui ont ainsi accumulé ces dernières décennies une forme de dette en matière de sécurité, une dette qui s'accumule, car les technologies que nous utilisons sont bien souvent des assemblages de technologies antérieures. Une dette qu'il va nous falloir régler rapidement, ou tout du moins contenir, avant que la situation ne dégénère. C'est une menace assez comparable aux dettes des Etats qu'on laisse filer en remettant à demain la résolution d'un problème qui ne fait que s’aggraver avec le temps. C’est vrai pour les objets connectés, mais c’est bien plus le cas encore pour les systèmes informatiques utilisés par les entreprises, construits par couches successives durant des années, en des temps où la cybercriminalité n’était rien par rapport à ce qu’elle est aujourd’hui. Ces systèmes constituent désormais de véritables chateaux de cartes sur lesquels reposent la vie des entreprises, à la merci d’un cybercriminel ou d’un concurrent malintentionné, avec à leur tête des DSI (Directeur des Services Informatique) et des RSSI (Responsable de la Sécurité des Systèmes d’Information) qui peinent à faire comprendre à leur direction qu’il est urgent d’investir dans quelque chose qui ne peut pas s’apprehender en termes de ROI.

Ensuite, l'adversaire a changé. La cybercriminalité a explosé en France où elle a augmenté en 2015 de 50%. Cela traduit en partie l'extension des conflits dans le monde au cyber, mais également des phénomènes comme le terrorisme,  'hacktivisme politique, ou encore, et c'est bien plus préoccupant, l'industrialisation de la cybercriminalité. Le coût de cette dernière a récemment été évalué par McAfee à 400 milliards de dollars dans le monde, et représente pour les pays développés un montant pouvant atteindre jusqu'à un point de PIB. Face à cela, une sécurité à 80%, qui était tout à fait satisfaisante hier, s'avère aujourd'hui insuffisante, et ce n'est pas avec les méthodes d'hier qu'on va pouvoir s'attaquer aux 20% restants, il va falloir innover, et de façon disruptive. Les objets connectés, de leur coté, sont pour l'essentiel développés par des startups, ou pire encore, par des industriels qui hier encore n'avaient aucun rapport avec internet. Ces entreprises n'ont pas de culture de la sécurité informatique, pour elles, tout cela est une dépense sans ROI, jusqu'à ce qu'une catastrophe survienne, tout du moins. Ajoutez à cela que leur responsabilité pénale n'est pas engagée en cas de problème, et vous faites de l'insécurité informatique une "externalité" d'un point de vue économique http://www.wikiwand.com/fr/Externalité - un problème similaire à ce qu’a pu être la pollution à une époque, où une entreprise qui polluait causait un problème pour la collectivité, et n’avait nullement à en assumer les conséquences.  

On trouve dans beaucoup de ces objets connectés ce qui peut s’apparenter à de la négligence caractérisée - typiquement, bon nombre de box de fournisseurs d'accès à internet, mais également de très nombreux objets technologiques de notre quotidien ont un mot de passe par défaut qui n’a pas été modifié par les fabricants, qui souvent ne font qu’assembler des briques technologiques (car votre box internet, tout comme vos enceintes bluetooth, ne sont guère qu'un assemblage de différents composants technologiques issus de différents fournisseurs, tous comportant leur lots de failles de sécurité). Se connecter à une caméra IP connectée non sécurisée, par exemple, est d'une simplicité désarmante (cliquez ici). Dans ce cas précis, le risque est relativement faible ceci dit, au pire, vous pouvez retrouver des séquences de votre vie privée sur Facebook. Plus gênant, certaines enceintes connectés peuvent être utilisées par mégarde par vos voisins, ce qui s’avère gênant s’ils leur vient à l’idée d’écouter du rock à deux heures du matin alors que vous dormez.  Plus ennuyeux, de nombreux décodeurs satellite sont eux régulièrement piratés pour servir de relais à des attaques informatiques. Là, votre responsabilité pénale peut être engagée, c'est plus problématique.

Comment pouvons-nous inverser cette tendance ?

Engager, à travers une législation, la responsabilité pénale des entreprises pour ce qui est des conséquences d'un éventuel piratage pourrait faire avancer les choses, mais il faudrait pour cela que la cyber assurance se développe, sans quoi on freinerait l’innovation, or le monde de la cyber-assurance n'en est qu'à ses balbutiements. A moyen terme, on peut imaginer que le législateur et les assurances avancent de concert sur ce chantier. On pourrait également imaginer des normes ou une législation européenne, qui pourraient, si elles étaient intelligemment pensées, contribuer à faire bouger les choses. L’Europe s’est récemment saisie du dossier, qui est d’autant plus critique qu’il pose en problème majeur de souveraineté : sans acteur de premier plan européen en matière de cyber-sécurité, nous en seront vite réduits à devenir un protectorat. Il faut impérativement accompagner l’innovation en provenance des startups du secteur cybersécurité, c’est, au risque de me répéter, un enjeux essentiel de souveraineté.

A plus court terme, le plus facile à mon avis serait de commencer par sensibiliser les usagers aux enjeux posés par la sécurité informatique, dont les objets connectés ne sont qu'un tout petit morceau. Cela passe, typiquement, par ce que nous somme en train de faire : une interview. Sensibiliser les consommateurs de façon à ce qu'ils se préoccupent du soin apporté par les fabricants de technologies à leur sécurisation pourrait créer des éléments de différenciation qu'on pourrait valoriser d'un point de vue marketing. Il faut que le grand public commence à se soucier de la sécurité informatique, mais à l'image de la sécurité tout court, il y a fort à parier qu'il nous faille passer par un épisode tragique pour en arriver là et que la réponse politique consiste plus à contrôler la population qu'à en assurer la sécurité.

Il y a également un véritable effort à faire du coté des experts pour vulgariser et expliquer leur discipline, la rendre plus accessible, moins anxiogène. La sécurité informatique n'est pas nécessairement quelque chose qui doit faire peur, c'est un domaine où la créativité est débridée du coté des hackers, dont la plupart sont à l'opposé de l'image du méchant pirate trop souvent véhiculée dans les médias. Jouer sur la peur n'est pas à mon sens une bonne approche, il faut avant tout démystifier, expliquer, responsabiliser les différents maillons de la chaine, du fabricant au consommateur, en leur donnant les moyens d’agir, chacun à son niveau et selon ses moyens, pour que la sécurité de tous soit renforcée. Faire un argument marketing fort du fait qu'un soin particulier a été apporté à la sécurisation d'une technologie, qu’il s’agisse d’un site eCommerce ou d’un objet connecté, serait une avancée majeure, et cela passe par la sensibilisation du grand public. Du coté des médias, si les journalistes insistaient de façon systématique sur la dimension sécuritaire des technologies utilisées par le grand public quand ils en couvrent l'actualité, ils contribueraient grandement à ce que les fabricants apportent des réponses claires.

La formation permanente est une piste à explorer, si les chefs d’entreprise avaient conscience des risques que la conduite de leurs employés (ainsi que la leur) font courir à leur société, ils se rueraient sur de telles formations et n’engageraient que des profils ainsi certifiés. Or une telle formation n’aurait rien d’extraordinairement compliquée, à l’image du permis automobile, qui n’exige pas de vous, loin s’en faut, que vous soyez un pilote automobile ou un mécanicien. Les médias ont également un rôle important à jouer en aidant à démystifier les choses, qui sont souvent assez triviales, à l'image de l'automobile, qui ne nécessite pas d'être un mécanicien chevronné pour être utilisée de façon sécure. Tout comme il existe une série de bonnes pratiques et de règles d’usages pour l’automobile qui fait que l’accidentologie reste somme toute raisonnable, l’équivalent reste faire dans les technologies. Le parallèle s’arrête là, car les technologies sont tout de même bien plus complexe que l’automobile, et c’est un apprentissage permanent qu’il faut mettre en place.

Enfin, il y a également une réponse sociale à apporter à l'insécurité informatique, car si on ne s’attaque par à la racine du problème, on n’arrivera jamais à une situation apaisée. La motivation des cybercriminels est avant tout financière, et bien souvent les hackers qui embrassent une carrière dans la cybercriminalité le font à défaut de trouver des débouchés légaux à leurs talents. C'est d'autant plus absurde que dans de très nombreux pays occidentaux, les entreprises ont les plus grandes difficultés à recruter ces talents tant ils sont rares. On peut parfaitement imaginer un avenir où une partie du travail en matière de cybersécurité se fasse à distance, ce qui permettrait à de nombreuses entreprises de trouver les talents qu'elles ont tant de mal à recruter, et offrirait des débouchés à ceux qui se trouvent là où la criminalité est la seule façon de monétiser leurs connaissances. Cela aurait nécessairement un impact positif sur l'ensemble, contribuerait à la croissance de pays en voie de développement et à la sécurité des pays développés.

De quoi le propriétaire d'un objet connecté doit il se méfier ? Quelles sont les précautions à prendre lorsque nous possédons un tel objet ?

C'est une question terriblement complexe, avant tout parce que se méfier de quelque chose qu'on ne comprend pas n'avance pas à grand chose. Ces quarante dernières années, la technologie du quotidien est passée de quelque chose de relativement simple - mais assez rare - qu'il était indispensable de comprendre si on voulait l'utiliser, à quelque chose d'extrêmement complexe mais à la portée de n'importe qui, du moins en termes d’usage. On s'est éloigné de la chose technologique tout en la rendant ubiquitaire et totalement indispensable. Se méfier sans comprendre n’amène à rien de positif. Quand vous conduisez une voiture, il ne sert à rien de s'en méfier, il faut comprendre les bases de son fonctionnement et appliquer un ensemble de règles d’usage communs, qui vont vous mettre en sécurité et sécuriser par là même la communauté des usagers. Il en va de même avec tout objet technologique. Si tous les employés d'une entreprise avaient des réflexes élémentaires en matière de sécurité informatique (comme, par exemple, celle qui consiste à ne pas ouvrir une pièce jointe à un email en provenance d'un inconnu), on réduirait drastiquement le risque de piratage - typiquement, une attaque comme celle qu'a connu TV5 n'aurait probablement pas eu lieu.

Le monde de l’assurance, enfin, à un énorme rôle à jouer ; sur la dimension pédagogique à apporter à la cybersécurité, mais également - et surtout - parce qu’il est en mesure de changer les règles du jeu. Certains experts estiment que le marché de la sécurité informatique - qui explose en ce moment - verra dans la décennie à venir le tiers de ses budgets consacrés à l'assurance. C'est une forme de régulation qui semble nécessaire et qui sera probablement très efficace, car les assureurs exigeront, avant de signer le moindre contrat, que les fabricants fassent des efforts quantifiables et permanents en matière de cyber-sécurité. L'assurance, qui tient pour l'instant un rôle mineur dans la cybersécurité, a énormément de chose à apporter, et il y a fort à parier que les prochaines avancées significatives en matière de cybersécurité ne se feront pas à travers des réponses technologiques mais avec à travers des approches différentes et complémentaires, destinées à faire évoluer les conditions qui créent cette insécurité. L'assurance sera sans doute le grand disrupteur de ce secteur, l'approche sociale évoquée précédemment également.