L’Internet des objets : une menace omniprésente ?

Par Danny Gagné
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand

Pour lire la version PDF

Notre vie quotidienne est ponctuée de rapports toujours plus fréquents avec des objets aux apparences banales qui sont connectés à Internet. L’Internet des objets transforme cependant ces appareils de prime abord inoffensifs en véritables vecteurs d’attaques cybernétiques.  

Depuis quelques années, l’Internet des objets (souvent abrégé IoT, pour « Internet of Things ») a envahi nos foyers. Lumières que l’on allume et portes de garage que l’on ouvre à distance, thermostat que l’on peut ajuster sans être à la maison, cafetière qui se met en marche en même temps que notre cadran sonne le matin, la plupart de ces objets peuvent maintenant être reliés à des interfaces sur nos téléphones portables. Que ce soit parce que nous entrons davantage en interaction avec les douces voix des Siri et Alexa de ce monde, ou simplement parce que ces commodités ont toujours fait partie de nos vies sous une forme ou une autre, le fait que des acteurs malveillants puissent retourner ces objets contre nous nous échappe. La pandémie et les mesures de confinement n’ont fait qu’accélérer l’acquisition de ces objets. Si on prend l’exemple du Royaume-Uni, des données recueillies par le Department for Digital, Culture, Media and Sports montrent que 49 % des Britanniques ont fait l’achat d’un appareil connecté à l’IoT depuis mars 2020.

Entre 30 et 40 milliards d’appareils connectés à Internet sont actuellement en fonction autour du globe. Or, ce ne sont pas que les ménages qui sont à risque. En tout, c’est une grille de plus d’un trillion de capteurs qui échangent de l’information reliant différents secteurs d’activité névralgiques : transport, santé, économie, etc. Les manufacturiers, mais aussi nos gouvernements, tardent néanmoins à garantir que ces immenses réseaux de communications restent étanches face aux intrusions malveillantes. Plusieurs appareils n’ont simplement aucune forme de système de défense et nos élus semblent à peine s’éveiller aux dangers inhérents à l’IoT.

Un fossé à combler

En quoi une banale cafetière peut-elle représenter une menace pour le citoyen lambda ? Selon un rapport de la firme Comcast, le ménage américain moyen ferait l’objet de 104 brèches par mois. Ce n’est pas l’appareil lui-même qui est visé, mais le réseau auquel il est connecté. Ces appareils ménagers sont en fait des tremplins vers les cellulaires et les ordinateurs portables, mines d’or de renseignements personnels, qui permettent à ceux qui s’en emparent de commettre des actions beaucoup plus dommageables. Puisqu’ils ont une capacité de mémoire microscopique, ces objets ne peuvent pas être munis de systèmes antivirus ou pare-feu sophistiqués. Ajoutons à cela le fait que les manufacturiers répondent aux simples intérêts mercantiles : développer ce genre de dispositif de sécurité représente pour eux une perte de temps qui retarde l’accès à un marché toujours plus saturé. Selon un sondage de Tripwire, plus de 300 spécialistes américains et européens travaillant au sein de firmes développant des appareils reliés à l’IoT affirment que 99 % de leurs produits comportent des problèmes de sécurité.        

Comment expliquer une telle négligence ? Dans le même sondage, seulement 12 % des spécialistes consultés estiment que leurs équipes techniques ont les capacités nécessaires pour gérer la sécurité de leurs appareils. En fait, les réseaux qui relient ces appareils et les chaînes d’approvisionnement qui permettent le développement de ces technologies seraient simplement trop complexes pour répondre aux impératifs de l’industrie. Évidemment, aucun manufacturier ne peut espérer contrôler de A à Z le processus de création et de mise en ligne de ces appareils. D’une part, c’est une véritable nébuleuse de fournisseurs, d’assembleurs, d’opérateurs réseau et d’administrateurs qui doivent s’assurer qu’un système n’est pas compromis. D’autre part, ces appareils ne communiquent pas entre eux dans le langage traditionnel des Microsoft, Apple ou Linux auquel les développeurs sont tant habitués. Les vulnérabilités de ces systèmes sont donc multiples.

Une prise d’otage cybernétique

La manipulation de l’Internet des objets par des acteurs malveillants devient particulièrement inquiétante lorsque des vies humaines sont dans la ligne de mire. Le secteur de la santé est la cible première des pirates utilisant des appareils branchés à l’IoT pour accomplir leurs méfaits. Selon la firme Checkpoint, 79 % des vols de données aux États-Unis entre mars et décembre 2020 ont touché le système de santé, une augmentation de 45 % par rapport à la période prépandémique. Les hôpitaux étaient déjà particulièrement dans la mire des pirates du web utilisant des rançongiciels : avec des vies humaines en jeu, les cibles étaient nettement plus susceptibles de baisser pavillon. Plusieurs centaines d’établissements de santé ont ainsi vu les données personnelles d’au moins 500 de leurs patients être compromises. Les tremplins utilisés : pompes à insulines, stimulateurs cardiaques, indicateurs de pression artérielle et autres outils du quotidien des professionnels de la santé. Dans plusieurs cas, ces plateformes ont été utilisées pour exiger des rançons alors que des patients en danger étaient de réels otages.

L’industrie de l’automobile fait aussi face à des menaces croissantes. Les véhicules intelligents sont la prochaine étape de l’innovation dans le domaine du transport. Or, même si on postule que le risque est infime, mettre des vies humaines entre les mains de systèmes automatisés qui transmettent des données positionnelles à partir d’une vingtaine de capteurs peut poser problème. Le SHIELD Automotive Cybersecurity Center of Excellence, un centre d’expertise de l’Université de Windsor au Canada, souligne qu’un véhicule intelligent opère avec en moyenne 100 millions de lignes de codages informatiques. Les portes d’entrée sont simplement trop nombreuses pour être surveillées en permanence et simultanément.

Évidemment, le risque pour les vies humaines causé par le piratage d’appareils médicaux et de systèmes de navigation est un enjeu majeur. Cependant, l’infiltration de ces systèmes peut aussi faire partie d’une tactique pour gagner des parts de marchés dans une nouvelle forme de guerre économique. En effet, l’exploitation de failles causant des dommages physiques ou matériels offre deux avantages : mettre des fabricants dans l’embarras pour pousser les consommateurs vers d’autres marques, mais aussi provoquer la chute des titres boursiers d’une entreprise qui pourront ensuite être achetés au rabais par des concurrents. Par exemple, en 2017, le titre de la compagnie Abbott (qui s’appelait jadis St-Jude Medical) a plongé quand une vulnérabilité a été détectée dans le réseau permettant d’établir la connexion avec les stimulateurs cardiaques qu’elle produit, ce qui força un rappel des appareils. Cette stratégie pourrait donc aussi être utilisée par des acteurs étatiques cherchant à faire prospérer l’économie nationale. L’approvisionnement en technologies utilisées pour la conception de ces appareils étant dépendant de plusieurs pays, la liste des agents perturbateurs potentiels est longue.       

Une menace prise au sérieux ?

Si le nombre de points d’accès à la portée d’acteurs malveillants semble être en voie de se décupler, il est alarmant de constater que plusieurs pays n’ont que tout récemment réalisé l’ampleur de la menace. Au Canada, un des leaders mondiaux dans le domaine des véhicules intelligents, les développeurs viennent à peine de réagir. Ce n’est qu’en mai 2020 que le centre SHIELD de l’Université de Windsor, fruit du travail conjoint entre l’Association de manufacturiers de pièces automobiles du Canada et la firme de cybersécurité CloudGRC, a été créé. Or, les premiers tests de véhicules automatisés canadiens ont débuté en 2017, et on parle déjà de 2021 comme l’année où ces véhicules feront leur entrée sur le marché.

Les États-Unis ont également du retard. Joe Biden propose une enveloppe budgétaire colossale dans son plan de modernisation des infrastructures, mais la protection de celles-ci contre des attaques cybernétiques ne semble pas être une priorité majeure pour l’instant. Le dernier rapport du National Institute of Standard and Technology (NIST) relié au Département du commerce a été publié en 2015, une éternité en termes de développement des technologies cyber. Rappelons qu’en février dernier, des pirates ont eu accès au système d’une station de traitement des eaux en Floride pour en modifier les propriétés chimiques, le tout en utilisant une application qui permet l’accès à distance à un poste de travail. La situation est loin d’être rassurante. Or, si le plan propose de faire passer le budget du NIST de 1 à 14 milliards, cette nouvelle répartition des crédits, bien que considérable, fait pâle figure à côté des trilliards de dollars investis dans la relance considérant que la dépendance à l’Internet des objets dans la gestion de ces infrastructures critiques s’accroît de manière exponentielle.

À date, seuls la Californie et l’Oregon se sont dotés de lois sur la vente d’appareils connectés à l’IoT. Ces mesures bloquent le marché aux manufacturiers qui ne satisfont pas un minimum de standards de sécurité, notamment l’inclusion d’un antivirus dans leurs produits. Le Royaume-Uni planche sur une loi similaire depuis quelques années. Outre la barrière aux manufacturiers qui ne respectent pas des critères sécuritaires, on envisage aussi de forcer ceux-ci à établir des centres de services pour les clients éprouvant des problèmes de cybersécurité. On parle aussi de l’obligation pour les fabricants de divulguer la période pendant laquelle l’appareil sera couvert par les mises à jour de fonctionnalités comme l’antivirus ou le firewall.

Lorsqu’on parle de véhicules électriques ou de technologies médicales, les conséquences potentielles de failles de sécurité pourraient coûter des vies humaines. Or, ces technologies pourraient aussi en sauver, mais la peur d’utiliser des produits qui ne comportent pas les fonctionnalités les plus élémentaires de cybersécurité repousse beaucoup d’acquéreurs. Alors que l’Internet des objets est appelé à occuper une place de plus en plus importante dans nos vies, les gouvernements et les manufacturiers doivent adopter des mesures pour s’assurer que les produits sont sécuritaires et ne multiplient pas les points d’entrée pour des acteurs malveillants.

Pour lire la version PDF

 

 

 

Danny Gagné est chercheur à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand.

18 mai 2021
En savoir plus