Avec l’Internet des objets, nous sommes à l'aube d'une véritable catastrophe

Les scénarios catastrophe faisant intervenir l'Internet des objets sont très à la mode en ce moment. Ils mettent en exergue les risques liés aux automobiles (autonomes ou avec chauffeur), aux infrastructures électriques, aux barrages, ou encore aux systèmes de ventilation par tunnel. Le New York Magazine a publié le mois dernier une fiction particulièrement réaliste sur ce thème, en imaginant que New York était la cible d'une cyberattaque visant les voitures, le réseau de distribution d'eau, les hôpitaux, les ascenseurs, le réseau électrique, et se soldant par la mort de plusieurs milliers de personnes. Même si ce genre de récit sensationnaliste exagère grandement les conséquences d'une attaque pirate à l'échelle d'une population, le risque individuel existe bel et bien. Et la sécurité informatique domestique ainsi que la sécurité réseau, dans leur état actuel, sont incapables de faire face à une attaque pirate rondement menée.

La sécurité de l'information passe par trois grands principes : confidentialité, intégrité, disponibilité. Aux États-Unis, ils se confondent avec les principes fondateurs de la CIA, ce qui peut prêter à confusion dans un contexte de sécurité nationale. Pour faire court, on peut voler vos données (confidentialité), les modifier (intégrité), ou vous empêcher de les récupérer (disponibilité).

Jusqu'ici, le plus grand péril rencontré sur Internet concernait la confidentialité. Or, il peut coûter très cher. Une étude a estimé que les brèches de sécurité coûtaient environ 3,8 millions de dollars chacune en moyenne. Elles peuvent également entrainer un grave préjudice moral, comme l'ont montré la fuite des photos de célébrité sur iCloud en 2014 et le scandale Ashley Madison en 2015. Lorsque le gouvernement nord-coréen a dérobé des milliers de documents internes de Sony ou quand des pirates ont volé les données de 83 millions de comptes clients appartenant à JPMorgan Chase, en 2014, les conséquences ont été dévastatrices. Ces failles de sécurité peuvent compromettre la sécurité nationale, ce qui est arrivé dans l'affaire de l'Office of Personnel Management américain en 2015.

Dans le cas de l'Internet des objets, ce sont les menaces liées à l'intégrité et à la disponibilité qui priment. C'est une chose de pirater votre serrure de porte électronique pour vérifier s'il y a quelqu'un chez vous. Ç'en est une autre de permettre à un cambrioleur de pénétrer dans votre logis, ou de vous empêcher de rentrer/de sortir de chez vous. Un pirate peut vous refuser le contrôle de votre voiture ou en prendre le contrôle lui-même. Celui-là est beaucoup plus dangereux que celui qui se contente d'espionner vos conversations ou de suivre les déplacements de votre voiture.

Avec l'avènement de l'Internet des objets et des systèmes électroniques commandant des objets physiques, nous nous sommes livrés pieds et poings liés à Internet : celui-ci a maintenant la capacité d'agir sur le monde physique. Nous connaissions les attaques visant à compromettre des données et des informations, et nous entrons dans l'ère de la guerre informatique contre la chair, l'acier et le béton.

Aujourd'hui, on peut (en théorie) faire s'écraser des avions en piratant des réseaux informatiques, désactiver des voitures à distance, qu'elles soient à l'arrêt ou en pleine accélération sur l'autoroute. On est également en droit de s'inquiéter de la manipulation à distance de machines de vote électronique, du piratage de thermostat susceptibles d'obstruer des tuyaux, ou encore de l'assassinat à distance par piratage d'appareils médicaux. Les possibilités sont illimitées. L'Internet des objets permettra des attaques que nous ne pouvons même pas imaginer.

Les risques viennent avant tout : des logiciels de contrôle système, des interconnexions entre les systèmes, et des systèmes entièrement autonomes ou automatisés. Examinons-les un par un.

Les logiciels. L'Internet des objets est né dans le cadre d'une parti-pris industriel qui consiste à transformer n'importe quel objet en ordinateur. Ces objets sont pratiques, puissants et flexibles, mais ils possèdent aussi leur lot de vulnérabilités. En l'occurrence, comme toute entité physique sous contrôle logiciel, ils sont vulnérables aux attaques pirates courantes. Mais parce que ces objets connectés sont généralement peu onéreux et destinés à un usage de courte durée, la plupart des patches et des mises à jour disponibles ne fonctionneront pas très longtemps. À l'heure actuelle, la seule façon de patcher la plupart des routeurs domestiques est de les jeter et d'en acheter de nouveaux. Quant au système de sécurité qui protège votre ordinateur et votre téléphone, il ne fonctionnera pas sur un réfrigérateur ou un thermostat : or, en moyenne, vous ne remplacez le premier que tous les 15 ans, et ne remplacerez jamais le second. Une enquête récente réalisée à Princeton a déjà trouvé plus de 500 000 appareils non sécurisés sur Internet. Et ce nombre est sur le point d'exploser.

Les interconnexions. Parce que ces systèmes sont de plus en plus interconnectés les uns aux autres, la vulnérabilité de l'un peut affecter les autres. Nous avons déjà vu des comptes Gmail se faire attaquer suite à des vulnérabilités dans les réfrigérateurs intelligents de Samsung, des réseaux informatiques hospitaliers mis à mal par des failles de sécurité dans le matériel médical, ou encore Target Corporation faire les frais d'une faille dans un système HVAC. Les systèmes sont liés à des externalités qui affectent d'autres système de façon inattendue et potentiellement dangereuse. Ce qui pourrait sembler bénin au concepteur d'un système donné posera problème lorsque deux systèmes de nature différentes seront combinés : on assiste alors à l'ouverture d'une faille de sécurité dite "en cascade", que personne n'avait vu venir et que personne ne sait réparer dans l'immédiat. Ce genre de vulnérabilité sera de plus en plus facile à exploiter, pour de bêtes raisons mathématiques. Si 100 systèmes interagissent les uns avec les autres, on a là près de 5000 interactions différentes, c'est-à-dire 5000 vulnérabilités potentielles. Pour 300 systèmes, cela fait 45 000 vulnérabilités. Pour 1000 systèmes, 45 000. La plupart seront sans danger, mais quelques-unes feront des dégâts.

L'autonomie. Nos systèmes informatiques sont de plus en plus autonomes. Ils achètent et vendent des actions, allument et éteignent le four, régulent la consommation électrique, et, dans le cas des voitures, emmènent des humains en une destination donnée par l'intermédiaire de véhicules autonomes. L'autonomie peut être formidable pour tout un tas de raisons, mais du point de vue de la sécurité, elle signifie que les conséquences des attaques pirates peuvent prendre effet immédiatement. Plus l'intervention humaine est ténue, plus les attaques éclair font des dégâts. De plus, nous perdons en vigilance. Lorsqu'un humain remarque que quelque chose ne va pas, c'est déjà trop tard.

Nous construisons des systèmes de plus en plus puissants, et de plus en plus utiles. La conséquence, c'est que nous en sommes de plus en plus dépendants, et qu'ils sont donc de plus en plus dangereux. Une seule vulnérabilité a forcé Chrysler à rappeler 1,4 million de véhicules en 2015. Nous avons l'habitude des attaques virales à grande échelle, mais ne sommes pas préparés à voir des centaines de milliers d'objets tomber en panne ou devenir fous un peu partout sur la planète.

Les gouvernements commencent tout juste à prendre en compte ce risque. L'année dernière, le directeur des services secrets américains (DNI), James Clapper, et le directeur de la NSA Mike Rogers ont témoigné devant le congrès américain de l'ampleur de cette menace.

Voici comment elle a été présentée en 2015 dans un rapport de la DNI : « Le débat public sur le risque informatique a jusqu'ici mis l'accent sur la confidentialité et la disponibilité de l'information ; le cyber-espionnage menace la confidentialité des données, et les attaques par déni de service minent la disponibilité. À l'avenir, nous pourrions voir apparaître davantage d'opérations basées sur la manipulation de l'information électronique afin de compromettre son intégrité (c'est-à-dire son exactitude et da fiabilité) et non pas pour la supprimer ou en restreindre l'accès. Les décisions des hauts fonctionnaires (civils et militaires), des dirigeants d'entreprises, des investisseurs et bien d'autres seront compromises si ceux-ci ne peuvent pas avoir pleinement confiance dans les informations dont ils disposent. »

Le rapport poursuit en ces termes : « Le futur du piratage réside probablement dans la corruption de données, dans le but de compromettre leur intégrité. Des données non fiables risquent de perturber la prise de décision, de réduire la confiance dans les systèmes informatiques, ou de provoquer des effets physiques délétères. Dans le cas où l'Internet des objets et l'IA deviendraient omniprésents, notamment au sein des services publics et du secteur de la santé, ces effets n'en seront que renforcés. »

Les experts en sécurité travaillent actuellement à mettre au point des technologies susceptibles de réduire ce risque, mais la plupart d'entre elles ne pourront être déployées sans l'accord du gouvernement. La loi du marché à elle seule ne sera jamais en mesure de résoudre ce problème. Ce sujet est trop technique pour que le grand public et les organisations puissent les comprendre aisément ; les entreprises préfèrent d'ailleurs dissimuler les potentiels problèmes de sécurité de leurs à leurs clients, leurs utilisateurs, et au public en général. De même, les interconnexions peuvent brouiller les corrélations entre les failles de sécurité et leurs conséquences, rendant les causes et les effets difficiles à identifier. Enfin, les intérêts des entreprises ne correspondent pas toujours aux intérêts du peuple.

Les gouvernements ont un rôle essentiel à jouer : définir des normes, une réglementation, et mettre en œuvre des solutions pour les entreprises et les réseaux. Tant qu'un plan d'action national sur la cybersécurité n'aura pas été mis en place, nous serons impuissants.

Le prochain président devra sans doute faire face à un désastre de grande ampleur où des vies humaines seront en jeu. Espérons qu'ils saura discriminer entre les prérogatives du gouvernement et celle de l'industrie, et qu'il montrera une volonté politique suffisante pour nous mettre à l'abri.

Bruce Schneier est expert en sécurité informatique et auteur. Il est également le directeur de la technologie de Resilient Systems, Inc. et son dernier ouvrage, Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World développe les idées présentées ci-dessus. On peut également le trouver sur schneier.com.