Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hack In Paris : l’Internet des objets ou l’ « Internet of Terror » ?

juillet 2014 par Emmanuelle Lamandé

Dans quelques années, les humains vont devoir partager la planète avec des centaines de milliards de terminaux et objets connectés en tout genre. Certaines technologies et autres « robots intelligents » seront même en mesure de prendre des décisions critiques à la place de l’Homme. Cependant, l’Internet des objets qui se dessine aujourd’hui n’est pas sans risques et pourrait même se retourner contre nous demain, explique Winn Schwartau, Fondateur de la société The Security Awareness Company, à l’occasion de Hack In Paris.

Dès le début des années 90, Winn Schwartau avait d’ores et déjà prédit comment la militarisation de l’Internet allait se produire. Il avait déclaré à l’époque que des groupes organisés de cybercriminels domineraient à terme le cyberespace et avait également mis en garde contre le vol sans précédent d’identité qui risquait de frapper la population chaque année. Ce n’est plus aujourd’hui de l’ordre de la prédiction, puisque les criminels ont désormais la mainmise sur l’Internet, le système GPS… et la plupart des autres technologies avancées développées par les industriels ou les états.

La consumérisation de l’IT, la tendance du BYOD, et le fiasco de la sécurité « mobile » inhérent, ne font d’ailleurs, pour lui, qu’aggraver la situation, et ne sont que le prélude d’un afflux massif de technologies qui vont venir envahir nos infrastructures. Avec la mobilité, c’est « l’enfer » qui est venu s’abattre sur nos réseaux, estime-t-il. Le BYOD s’apparente plus à « Bring Your Own Disaster » ou « Breach Your Own Data » qu’à « Bring Your Own Device ».

Les gens disaient qu’il ne fallait pas s’inquiéter des risques liés aux mobiles, alors qu’aujourd’hui nous voyons exactement arriver les mêmes menaces et malwares sur les mobiles que précédemment sur les ordinateurs. Le schéma se répète, en pire… Pour lui, la sécurité des mobiles est aussi, et avant tout, une responsabilité de l’industrie. Le problème est que la sécurité n’est que trop rarement prise en compte actuellement dans le cycle de développement des technologies.

L’Internet des Objets n’est guère mieux. Pour lui, ce que l’on appelle en anglais l’ « Internet of Things » (IoT) se caractériserait mieux par l’ « Internet of Terror ». Demain, quasiment tous nos objets seront connectés, y compris nos voitures et réfrigérateurs. Sommes-nous vraiment prêts pour cela ? Surtout quand l’on voit l’exemple de la Toyota Prius qui roule sans être humain aux commandes…

Mais ce n’est pas tout. Les réseaux SCADA, les Smart Grids, les nanotechnologies, les drones… sont autant de systèmes potentiellement vulnérables, et permettant à toute personne malveillante de prendre le contrôle sur de l’information critique et de la manipuler comme bon lui semble. Même si nous ne connaissons pas encore tous les cas d’usage qui en seront fait demain, nous savons pertinemment que les attaquants en tireront profit de toutes les manières qui soient. Que se passera-t-il, par exemple, quand des armes de type EMP/HERF sortiront du cadre purement militaire pour tomber dans les mains des criminels ?

Les technologies d’espionnage sont et seront, quant à elles, de plus en plus miniaturisées, prenant par exemple l’apparence d’un moustique, l’objectif étant de les faire ressembler le plus possible à des éléments naturels et donc de les fondre dans la masse.

Nous sommes aujourd’hui, de plus, dans un monde transparent, où la vie privée tend à disparaître. C’est comme-ci nous habitions désormais dans un immeuble de verre, au vu et au su de tous.

Nous devons savoir tirer parti de nos échecs

Nous l’aurons compris, la technologie fait désormais, et le fera encore plus demain, partie intégrante de nos modes de vie, si ce n’est de nous-mêmes. Attaquer les réseaux de communication… reviendra donc à atteindre notre société en plein cœur. Sans compter qu’un incident ne sera pas forcément l’objet de quelque personne malveillante. Il cite à cet égard l’effet de « Carrington », une série d’éruptions solaires ayant eu lieu en 1859 et ayant fortement perturbé les télécommunications par télégraphe électrique.

Ce phénomène est souvent utilisé comme modèle afin de prévoir les conséquences qu’une tempête solaire de ce type pourrait avoir sur les télécommunications à l’échelle mondiale, la distribution d’électricité, le fonctionnement des satellites... Certains, à l’instar du journal The Sun, avaient d’ailleurs prévu qu’un tel événement puisse se reproduire aux alentours de 2013. Heureusement cela n’a pas encore été le cas, car si en 1859, seul le réseau télégraphique avait été affecté, qu’en serait-il aujourd’hui si ce type de phénomène affectait nos réseaux électrique, téléphonique, informatique et Internet, nos câbles, satellites et autres appareils alimentés ou connectés, et donc aussi nos processus de ravitaillement alimentaire, médical… Que se passera-t-il, en effet, le jour où notre planète devra survivre sans énergie ?

Face à ce constat accablant et avant que le pire n’arrive, que peut-on faire ? La question aujourd’hui est de savoir pourquoi, malgré tous ces risques, nous continuons encore à développer des technologies sans y intégrer des contrôles de sécurité forts ?

Au niveau technique, Winn Schwartau estime qu’il est grand temps de reprendre la main sur la technologie et d’intégrer une véritable sécurité dans les cycles de développement des produits. Il faut, de plus, mettre sur pied une vraie stratégie de défense, mais aussi des outils d’attaques. Il recommande également aux entreprises d’adopter la méthodologie TBS (Time Based Security). Cette méthode permet de tester et mesurer de manière quantifiable l’efficacité des solutions de sécurité mises en place et leur résistance aux attaques.

Concernant l’humain, il prône la simplicité et la sensibilisation. Il est important d’enseigner l’histoire et de tirer parti de nos échecs. Enfin, la sécurité est de la responsabilité des différents acteurs dans ce domaine, pas des utilisateurs. La communauté de la sécurité et des hackers doit agir maintenant, si nous ne voulons pas encore et encore reproduire les mêmes erreurs, conclut-il. Car il ne faut pas perdre de vue que celui qui aura la main sur les « armes » technologiques de nouvelle génération sera victorieux…


Voir les articles précédents

    

Voir les articles suivants