Nos villes deviennent intelligentes mais cela les rend aussi de plus en plus vulnérables aux attaques

Atlantico : Est-ce qu'aujourd'hui la gestion des risques est tout autant prise en compte que le développement des services ? Tant au niveau des entreprises que des villes elles-mêmes ou même au niveau étatique ?

Jean-Paul Pinte : Tout va de plus en plus vite aujourd’hui et comme pour tous les domaines de notre société l'accélération technique menace de tout détruire car nous avons de plus en plus de mal à nous adapter au rythme de l’évolution de ces technologies.

C’est comme cela qu’est décrit le phénomène d’inadaptation de notre société qualifié de disruption par Bernard Stiegler dans un ouvrage. Pour l’auteur c’est le développement du World Wide Web qui a permis les stratégies disruptives.

«Disruptif». Le terme, dixit le dictionnaire de l’Académie française, dérive du latin disrumpere, «briser en morceaux, faire éclater». Dans le langage des entreprises du numérique, «l’innovation disruptive», c’est l’innovation de rupture, celle qui bouscule les positions établies, court-circuite les règles du jeu, impose un changement de paradigme.

Ce phénomène n’échappe bien sûr pas au monde de la sécurité pour laquelle nos états, nos entreprises et administrations tentent de lutter en vain avec, notons-le, à chaque fois, un décalage certain d’adaptation aux modes opératoires d’ingénierie sociale que développent et imaginent les cyber-délinquants, hackers ou autres profils comme les cyber(terroristes).

La démarche prospective de surveillance des cyber-risques a trop longtemps été axée sur des actions étatiques et les liens avec les administrations,  entreprises, organismes privés, associations et universités ont été trop tardifs. Dans un entretien avec le professeur Kavé Salamatian (P.81) publié dans « Cybermonde et nouvelles menaces, la cyber-sécurité par ses principaux experts » signale qu’à la différence des pays européens ayant récemment réalisé la portée stratégique de l’Internet, les Chinois en ont conscience depuis 18 ans. Chez les Russes, c’est en 2013 que l’on constate une forte émergence sur l’infrastructure de l’Internet avec, en contrepartie, la surveillance et l’espionnage.

Le concept de smart-cities ou de ville intelligente, comme toutes les technologies et applications qui n’ont manqué de se développer et que nos gouvernements commencent à adopter reposent à nouveau et avec acuité la question de la sécurité. En effet l’Internet des objets (IoT) accroit encore les risques sans compter sa démultiplication par le truchement des plateformes que peu d’humains sont capables d’en décrire les méandres, les impacts et les étendues sur nos vies et nos identités. Il faut aussi penser à la dimension de la voiture intelligente dans ce décor de la ville pour qui certains prédateurs ont déjà penser des scénarii qui nous échappent encore à ce jour.

Comme aime à le préciser souvent Louis Pouzin, à l'origine, dans les années 1970, du premier réseau -appelé "Cyclades"- permettant de communiquer des informations sous la forme de paquets. "Internet est bâti sur un marécage" et a été pensé sans la dimension sécurité tant l’outil était innovant et magique à ses débuts !

Aujourd’hui nous mesurons un peu mieux les incidences dans le monde de la cybersécurité au niveau de nos états. Cependant il faut reconnaître que même les concepteurs des réseaux sociaux, des applications n’auraient pu imaginer le devenir de leurs inventions capables aujourd’hui de se transformer en réseau de type Botnet à partir d’objets connectés compromis et à l’insu de leurs utilisateurs chez eux ou dans la ville.

Aussi, la perte ou le contrôle données longtemps oubliée voire négligée dans l’éventail des principaux risques est une des principales répercussions dont nous commençons à payer les frais dans notre vie de tous les jours et surtout dans nos déplacements qu’ils soient en voiture ou en transport en commun.

Une communication de la commission au Parlement européen au Conseil, au Comité économique et Social européen et au Comité des régions sur l'examen à mi-parcours de la mise en œuvre de la stratégie pour le marché unique numérique vers un  marché unique numérique connecté pour tous propose (P.14) de promouvoir un cyberécosystème fiable en relayant ensemble les défis de la cybersécurité.

Il stipule que les cyberattaques sont en augmentation, et les actions pour y faire face se heurtent au problème du cadre strictement national des compétences en matière de répression, alors que ces attaques sont souvent transfrontières. 

Des cyberattaques de grande ampleur pourraient perturber des services dans toute l’UE et être utilisés pour des attaques hybrides. Il y a lieu de mettre sur pied une capacité de réponse et de gestion de crise à l’échelon de l’UE, sur la base de cyberpolitiques spécifiques et d’instruments élargis aux fins de la solidarité européenne et de l’assistance mutuelle. Le paysage des menaces ayant sensiblement changé depuis 2013 (avec l’Internet des objets notamment), la stratégie de cybersécurité de l’UE doit être réexaminée.

Et sans action concertée au sein de l'UE il n'y aura pas de réelles solutions.

Quels pourraient être l'intérêt pour des pirates informatiques de paralyser les réseaux de circulation ou de distribution ? On imagine très bien l'intérêt dans le cadre d'un "ransomware" mais quel pourraient être les autres intérêts qui pousseraient à s'attaquer à ces services ?

Les meilleures mesures en matière de sécurité sont  aujourd’hui vaines et ne permettent pas de gérer le grand nombre de vecteurs d’attaques et de menaces existant et à venir dans les villes. En effet selon les Nations Unies, en 2050, plus de la moitié des 9,7 milliards d'habitants de la planète vivront en ville. A cette date, beaucoup de ces villes seront truffées de capteurs et l’appétit des cyber-délinquants ne pourra que progresser et se développer en termes d’ingénierie sociale.

Dans un article de l’Observatoire du Forum International de la cybersécurité on peut lire que le 8 avril dernier peu avant minuit, toutes les sirènes d’alerte de la ville de Dallas se sont mises à hurler, provoquant un mouvement de panique parmi la population. Plusieurs milliers d’habitants ont appelé le 911, ce qui a eu pour conséquence de provoquer une saturation du standard avec plus de 30 minutes d’attente pour les appels urgents. L’ensemble de ces sirènes étaient sous le contrôle du système d’information de la ville au travers de l’application centrale de la Police. Peu après, un hacker a revendiqué cette attaque sur un forum internet, en expliquant qu’il avait pris le contrôle du hub gérant les sirènes en se substituant au système de pilotage. Cet incident, heureusement sans gravité, montre combien l’équation ville intelligente/ville sécurisée est complexe. Selon une étude menée aux Etats Unis en janvier 2017, 74% des 200 responsables de la sécurité des villes interrogés ont admis que les initiatives lancées autour de la ville intelligente étaient indispensables, mais 55 % d’entre eux reconnaissent ne pas disposer aujourd’hui des ressources permettant de garantir que ces initiatives ne mettaient pas en péril la sécurité de la ville. On a ici un exemple de la dimension et de l’impact que pourrait avoir ce type d’attaque.

Les villes sont déjà remplies d’algorithmes que  nous ne maîtrisons pas vraiment et c’est par ce biais que l’on pourrait imaginer une paralysie assez aisée de l’organisation d’une ville et de ses différents services comme le serait une grève mais avec un impact plus grand immédiatement et dans le temps. Il serait donc possible de mettre à plat tout un système d’une administration qui, rappelons est avec l’Open Data en constante interaction avec les autres acteurs de l’économie.

Les hackers pourraient aussi menacer la santé publique et la sécurité, et perturber de multiples services municipaux à partir d’un point d’accès unique.

Le site Spoutniknews.Com nous interpelle aussi qu’au niveau des réseaux électriques intelligents, que se passerait-t-il, par exemple, si quelqu'un décidait de hacker le système de gestion des lampadaires intelligents d'une ville et d'accéder ensuite au réseau des opérateurs d'énergie ?

Les transports représentent une composante importante des Smart Cities et tous nos déplacements pourraient aussi faire l’objet de malveillance. Prise en main des feux de signalisation pour perturber le trafic, voire immobiliser une ville, annoncer de fausses informations sur les panneaux d’affichage, captations de données au passage sur des véhicules de plus en plus connectés, … Autant d’idées vous voyez qui pourraient voir le jour ou continuer à exister.

Les compteurs intelligents dans ce qui est appelé communément le « Smart Grid» représentent aussi une source spécifique de risques et donc d’attaques. A A partir de ces supports on pourrait  à partir  des courbes de charge permettre de déduire un grand nombre d’informations sur les habitudes de vie des occupants d’une habitation : heures de lever et de coucher, heures ou périodes d’absence, présence d’invités dans un logement, prises de douche, nombre de personnes présentes dans le logement, etc. ».

Le détournement de caméras de surveillance n’a pas échappé aux cyber-délinquants et ont déjà fait la une suite à des détournements. Des hackers ont ainsi détourné des centaines de caméras de surveillance pour mener des attaques DDoS  en utilisant l'outil dédié LizardStresser.

On le voit bien les modes opératoires ne manquent pas et pour les attaquants il n’est plus uniquement question d’argent mais plutôt de blocage de systèmes qui mèneraient au Ko.

Ne peut-on pas pour autant considérer qu'il s'agit là de problème de deuxième catégorie lorsque l'on sait qu'existent déjà des virus informatiques capables de paralyser des centrales nucléaires (Stuxnet en Iran) ou plus récemment l'apparition d'Industroyer qui permettrait de paralyser tout un pays en s'attaquant directement aux systèmes électriques comme ça a été le cas en Ukraine en 2015 et 2016 ? Que peut-on imaginer comme nouveau virus qui seraient tout aussi dangereux que ceux-ci tant pour la sécurité des citoyens que pour l'économie de pays entiers ?

Même avec une analyse prédictive pointue il serait difficile d’imaginer ce qu’ont dans la tête les cyber-attaquants qui ont du temps pour en imaginer les scénarii. On peut néanmoins  se rendre compte que de nouveaux  virus similaires à WannaCry ont touché Rosneft, Merck, Saint-Gobain ou encore la SNCF. et même Tchernobyl.

Plus impressionnant dernièrement des chercheurs américains sont parvenus à prendre le contrôle d’un ordinateur de séquençage génétique par le biais d’un virus informatique, codé sous la forme de brins d’ADN. Ils ont montré qu’un code informatique malicieux – un virus – stocké sous forme de molécules d’ADN synthétique, peut compromettre la sécurité des ordinateurs utilisés pour décoder les gènes, notamment en recherche médicale.

Un dernier risque aussi à prendre en compte pourrait être l’injection de fausses données dans le Big Data visant à pouvoir fausser le traitement d’algorithmes menant à des résultats désastreux pour des études en cours ou à venir dans les sociétés ou grands groupes.