Un chien de garde virtuel pour protéger votre connexion Internet? Pourquoi ce genre d’objet connecté ne vous protégera pas de la vraie cybercriminalité <!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
CUJO, le cyber chien de garde, disponible début mars, serait la solution pour se protéger des pirates informatiques. (photo d'illustration)
CUJO, le cyber chien de garde, disponible début mars, serait la solution pour se protéger des pirates informatiques. (photo d'illustration)
©wikipédia

Cave canem

Un chien de garde virtuel pour protéger votre connexion Internet? Pourquoi ce genre d’objet connecté ne vous protégera pas de la vraie cybercriminalité

CUJO, un objet connecté bientôt sur le marché doit permettre de protéger les données d'autres objets connectés. Au travers de cette invention, se pose la question de la cybersécurité censée intervenir dans la phase de conception chez les industriels. Or, le constat est accablant.

Fabrice Epelboin
Fabrice Epelboin

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio »

Atlantico : CUJO, le cyber chien de garde, disponible début mars, serait la solution pour se protéger des pirates informatiques. Connecté à la box internet, il aura accès à toutes les données et pourra protéger les utilisateurs contre les attaques informatiques. Le consommateur peut-il croire à une telle promesse ?

Fabrice Epelboin : Ce genre de solution miracle est courante dans l’industrie, même si elle n’est jamais présentée ainsi car personne n’y croirait. Cela ne préservera pas les utilisateurs de toutes les attaques informatiques, loin de là. Mais cela peut en bloquer certaines, et, au vu de l’état de la sécurité de l’Internet des Objets, c’est une avancée positive.

Le plus grand danger de ce genre de solutions réside dans la fausse sensation de sécurité qui est procurée aux utilisateurs. On peut dresser un parallèle avec l’utilisateur d’un PC qui se croit à l’abri du danger parce qu’il a un antivirus ou un firewall. La cyber criminalité explose, et s’industrialise. Alors que l'on faisait auparavant face, dans le pire des cas, à des petits génies maléfiques, nous sommes aujourd’hui confrontés à des mafias très organisées, capables de piller des multinationales. Ce genre de menace ne s’écarte pas avec un simple dispositif technique. Par contre, les "script kiddies" (hackers débutants) risquent d’être arrêtés par ce type de dispositif, il ne faut pas sous-estimer cette nuisance, mais il faut la recontextualiser.

Même les professionnels de l’industrie ont du mal à réaliser l’évolution de la menace. Dans une récente étude faite auprès de directions des systèmes d'information (DSI) et de responsables de la sécurité des systèmes d'information (RSSI) à travers le monde, ces derniers plaçaient sur un pied d’égalité la menace représentée par un hacker "blackhat" solitaire et celle représentée par des organisations cyber criminelles. Or, ces dernières représentent pourtant l’essentiel des dégâts subis.

En termes de sécurité, quelles questions pose l'usage massif annoncé des objets connectés ?

Le problème posé par les objets connectés réside dans le fait que la sécurité n’est pas prise en compte dans leur phase de conception (ce qui crée de facto un marché pour des solutions comme CUJO). Nous sommes en train de truffer notre environnement de dispositifs technologiques qui sont non seulement peu sécurisés, mais qui en plus sont très souvent installés au cœur de nos foyers sur le même réseau local que tout un tas d’autres objets qui peuvent être attaquées par leur biais (un ordinateur, une tablette, un téléphone ou un autre objet connecté, ou même un dispositif situé ailleurs). Cela pose le problème de la responsabilité légale. La sécurité a postériori (ce que propose CUJO) ne sera jamais aussi efficace qu’une approche intégrée, au cœur du développement des technologies, et, compte-tenu du caractère de plus en plus ubiquitaire des technologies, il est assez urgent d’évoluer vers cela.

Y-a-t-il un véritable danger pour des utilisateurs déconnectés du fonctionnement réel de leurs objets ? Comment les consommateurs peuvent-ils reprendre le contrôle ?

Le danger lié à l'utilisation d'une technologie dont on ne connait pas le fonctionnement n’est pas nouveau. Le consommateur lambda n'a à priori pas la moindre idée de la façon dont fonctionne son ordinateur ou son téléphone. C’est en effet un danger, car si l’affaire Snowden a montré une chose, c’est bien que les technologies dans le monde ont été méticuleusement sabotées en termes de sécurité afin que le système de surveillance américain puisse se mettre en place. L’affaire Juniper, dans son sillage, a montré que les failles et les backdoors installées délibérément par la National Security Agency (NSA) sont utilisées par des organisations criminelles, ou d’autres services de renseignements que la NSA. Cet enchainement peut sembler dramatique, mais il faut bien comprendre à quel point la société de la surveillance que le grand public à découvert ces dernières années, essentiellement à travers l’affaire Snowden, va de pair avec une montée spectaculaire de l’insécurité technologique. Ce sont les deux faces d’une même médaille, l’une n’existerait pas sans l’autre, et les deux ne prospèrent qu’en cachant leur code aux utilisateurs.

La seule solution pour reprendre tout cela en main consiste à comprendre les technologies, ce qui n’est bien sûr pas à la portée de tout le monde, et à les regarder de près, ce qui limite le choix aux technologies open source. Le concept de souveraineté numérique est ici très adapté : si un utilisateur est souverain sur son réseau local - qui lie le modem, le routeur, le wifi, les ordinateurs, téléphones, imprimantes et tablettes, et comprend comment tout cela marche, alors il sera souverain dans sonpetit royaume technologique, son réseau local, et il pourra tout reprendre en main. A défaut, les utilisateurs accueillent chez eux d’autres souverainetés numériques, comme celle d’un Etat qui enregistre les échanges, d’un opérateur télécom, qui fournit gentiment un modem, un routeur et une borne wifi sous la forme d’une box dont ils ignorent tout du fonctionnement intime, sans oublier la souveraineté d’Apple, de Google ou de Microsoft, qui font tourner ordinateurs, tablettes ou téléphones sans que personne ne puisse réellement savoir comment ils fonctionnent, peu importe les compétences techniques dans la mesure où personne n'a accès au code.

L’écrasante majorité de la population, des entreprises et des Etats est en réalité dans une situation hybride en termes de souveraineté numérique. La situation est complexe, mais il va falloir l’aborder pour les citoyens qui se demandent “comment reprendre le contrôle”, comme pour des entreprises, qui vont bientôt être tenues responsables de la protection des données qu’elles hébergent - et vont donc devoir assumer leur souveraineté sur leur infrastructure technique -, et bien sûr pour les Etats, pour qui la souveraineté, numérique ou pas, est une condition d’existence.

Selon une étude de 2015 d'Hewlett-Packard 70% des objets connectés reliés à Internet ont accès à des réseaux non cryptés et sont vulnérables à une attaque potentielle. La cybersécurité est-elle sous-estimée par les industriels ? Et par les consommateurs ?

La directive cybersécurité, dont le Parlement européen devrait accoucher sous peu, imposera aux entreprises de déclarer publiquement toute faille de sécurité susceptible de mettre en danger les données personnelles des clients, sous peine de très lourdes sanctions. On change du tout au tout par rapport à aujourd’hui, où les entreprises qui ont mis en péril les données personnelles de leurs clients gardent généralement le silence, de peur de les faire fuir, et c'est compréhensible. Ces pratiques sont désormais révolues. Les entreprises vont être responsabilisées, et elles vont devoir assumer une forme de souveraineté numérique sur leurs technologies, qu’il s’agisse de celles qu’elles utilisent pour fonctionner - comme un CRM (outil de gestion de la relation client) ou un ERP (progiciel de gestion), ou de celles qu’elles commercialisent car les entreprises commercialisent de plus en plus des technologies. L’Internet des objets ne fait qu’accélérer cela. 

La réaction naturelle des entreprises face à cela devrait tout naturellement être de renforcer leur sécurité, mais aussi, si ce n’est surtout, de se tourner vers le monde de l’assurance qui imposera des mesures à ses clients. Le challenge consiste pour les assurances à mettre au point des indicateurs leur permettant d’évaluer le risque. On n’assure pas au même prix l’automobile d'un jeune conducteur comme celle d’une mère de famille. De la même façon, un assureur voudra disposer d’éléments tangibles lui permettant d’évaluer le risque encouru par son client et le sérieux avec lequel il envisage sa sécurité. Tout cela reste à inventer, et on dispose déjà de pistes très prometteuses pour l’aborder.

Avec les évolutions technologiques, les pirates auront toujours un temps d’avance sur la cybersécurité. Va-t-on finalement assister à un retour vers des objets en dur, non connectés pour se protéger ?

Le mythe du pirate a la vie dure, mais il convient vraiment d’insister sur la réalité de la menace. L’essentiel des dégâts subis par les entreprises en matière d’attaque informatique est lié à de véritables organisations criminelles, des mafias, disposant d’importantes ressources, tant financières qu’humaines, et de temps.

Pour autant, il n’y a aucune chance qu’on arrête les technologies. Nous allons juste intégrer ce risque dans notre quotidien, comme nous avons intégré d’autres risques par le passé. L’évolution de la législation va rapidement obliger les entreprises et les assurances à prendre en compte le problème. La façon dont nous créons des technologies va évoluer et intégrer de façon plus intelligente la sécurité, qui ne peut plus venir "après coup" comme c’est trop souvent le cas aujourd’hui.

A terme, les choses devraient se rééquilibrer, une fois que la sécurité aura été placée au cœur de la conception. Il s’est écoulé des décennies entre l’arrivée de l’automobile, la ceinture de sécurité, et l’airbag, sans même parler de l’apparition du permis de conduire. Ce sont toutes ces étapes que nous devons aborder désormais pour maitriser la sécurité des technologies de notre quotidien.

Une très large partie des nuisances liées à la cyber criminalité pourrait être facilement évités avec un ensemble de règles simples et faciles à suivre que nous devrions tous appliquer, aussi naturellement que nous stoppons notre automobile à un feu rouge ou bouclons notre ceinture de sécurité avant de mettre le contact. Ne jamais utiliser le même mot de passe partout, ne jamais ouvrir une pièce jointe d'un email d’un expéditeur inconnu, des réflexes simples qui pourraient être intégrés au brevet des collèges. Les effets seraient rapides et mesurables - les parents devraient rapidement être évangélisés par leurs enfants. Des certifications en ligne seraient relativement simples à mettre en place pour les adultes, et cela serait un plus indéniable sur un CV pour la quasi-totalité des emplois du secteur tertiaire.

Avec une bonne connaissance de pratiques de sécurité informatique de base, des attaques comme celle contre TV5 n’auraient jamais eu lieu, et les entreprises abaisseraient considérablement le coût de la cyber criminalité. Il suffit de s’y mettre.

Propos recueillis par Victor Bertin

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !