Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La sécurité des villes face aux nouveaux hackers

juillet 2020 par Mike Nelson, Vice-Président de la sécurité de l’IoT, DigiCert

Dire que les cybercriminels s’en prennent aux ordinateurs est maintenant presque désuet. Le type de menaces auxquels nous devons nous attendre révèle des appétits d’une toute autre ampleur. Faisant suite à une demande récente du groupe d’étude parlementaire Freedom of Information, les chiffres révèlent que des attractions touristiques de Londres mondialement connues, comme le National History Museum, Kew Gardens et les Tate art galleries ont été attaquées plus de 109 millions de fois au cours des dernières années.

En Amérique, les gangs utilisant des ransomwares ne se contentent plus des seuls réseaux professionnels et des ordinateurs domestiques. En fait, il semble que la dernière tendance soit d’attaquer des villes. Au cours des dernières années, Akron dans l’Ohio et Del Rio au Texas ont été toutes deux attaquées à plusieurs reprises par des rançongiciels. En 2018, Atlanta a été obligée de fermer ses services administratifs et de reprendre stylo et feuille de papier pour les opérations urgentes. Les coûts de remise en fonctionnement se sont élevés à plusieurs millions.

En mai 2019, Baltimore s’est trouvée être la nouvelle victime d’une telle attaque – cette fois sous la forme d’une famille de rançongiciels baptisée RobbinHood. Les assaillants ont laissé une note, exigeant 76 000 $ en bitcoins et ont conclu : « Nous n’avons rien à ajouter, notre seul intérêt est l’ARGENT ! Dépêchez-vous ! »

Les services des autorités locales ont de nouveau été paralysés. Il en a été de même pour les transactions immobilières quand les systèmes utilisés par la mairie pour les estimations des vendeurs ont été verrouillés. Un système d’alerte, destiné à avertir les responsables de la santé publique et les usagers de livraisons de stupéfiants potentiellement dangereux dans la région, a également été impliqué dans l’attaque.
La municipalité a récemment signalé que la remise en état coûterait 18 millions de dollars. Certains souhaiteront que la rançon eût été versée. Il semble que le fait que les villes soient désormais des cibles n’a pas été pris en compte par tous. C’est pourtant la nouvelle réalité. Et, comme c’est souvent le cas en cybersécurité, la surface d’attaque de ce domaine augmente massivement et irréversiblement.

Cette augmentation s’appuie sur deux éléments : l’avènement de la ville intelligente et l’arrivée prochaine de l’informatique quantique. Avec le concept de ville intelligente, les métropoles seront associées à une véritable galaxie de terminaux qui recueillent les données, traitent l’information et régissent le fonctionnement même de ces villes. Les services d’urgence, les feux de circulation, la gestion des déchets et bien d’autres choses seront bientôt supervisés et gérés par ordinateur. L’an dernier, le maire de Londres Sadiq Khan a lancé un plan pour faire de Londres l’une des ‘villes les plus intelligentes’ du monde. Sa feuille de route ambitieuse intègre le projet de commander « une nouvelle génération de technologies intelligentes » telles que des lampadaires pouvant surveiller la qualité de l’air, des bancs et des abris où pourraient être intégré le Wi-Fi public, des caméras, des stations de recharge de véhicules électriques, etc.

Londres n’est pas le seul exemple. A Barcelone, dire que les feux de circulation sont intelligents signifie que les ambulances, les camions de pompiers et les voitures de police filant vers les urgences disposent automatiquement d’une route de feux verts. Amsterdam gère les embouteillages en recueillant les données de circulation et de stationnement. Dubaï prévoit de numériser entièrement ses services administratifs et aspire à fournir 5000 centres d’accès publics pour que les citoyens disposent de ces services. Des programmes similaires avancent ainsi dans le monde entier ; certains prennent la sécurité très au sérieux, d’autres ne s’en soucient pas.
L’autre grande avancée est le changement produit par l’arrivée de l’informatique quantique. La différence paraît simple. L’informatique classique utilise des bits qui sont composés de 1 et de 0, comme unités d’information de base. L’informatique quantique utilise des qubits. Les qubits peuvent être composés de nombreuses valeurs en même temps, permettant à un ordinateur quantique de non seulement résoudre les problèmes plus rapidement et plus intelligemment que n’importe quel ordinateur, mais aussi d’être capable de résoudre simultanément un grand nombre de problèmes.

Ce pas de géant pour l’informatique en est aussi un pour des acteurs motivés qui seraient eux aussi en mesure de déployer les moyens de l’informatique quantique contre leurs victimes. Cette avancée des pirates peut paraître un enjeu technique spécifique, mais nous parlons là d’une menace sur le progrès des villes intelligentes.
La frontière entre le monde réel et le monde digital devient de plus en plus ténue. Alors que l’action d’un pirate pouvait s’achever autrefois sur un écran d’ordinateur, elle s’étend chaque année un peu plus dans le monde physique. L’informatique quantique ne sera pas disponible dans le commerce avant plusieurs années encore et les villes intelligentes évolueront encore, mais le genre de problèmes que l’insécurité pourrait poser dans ce domaine est d’ores et déjà apparent.
La sécurité de l’Internet des Objets (IoT) est déplorable depuis de nombreuses années. À cause des mises en œuvre non sécurisées, de l’absence de normes dans l’industrie et des fabricants qui n’ont pas choisi de fabriquer des produits sûrs pour les consommateurs, la sécurité de l’IoT s’est avérée un échec à maintes reprises.
Nous évoquons seulement les normes et les règlements qui pourraient effectivement régir la sécurité de l’IoT. En France, les autorités gouvernementales informent sur les dangers liés aux IoT et la CNIL émet des recommandations de sécurité pour les utiliser. Toutes ces mises en garde sont les bienvenues, mais le chemin à parcourir est encore long.

Cela ne signifie pas néanmoins que les développements pour le futur ne puissent pas être sécurisés dès aujourd’hui. L’un des principaux problèmes consistera à contrôler le nombre incalculable d’appareils, capteurs et technologies opérationnelles qui constitueront une ville intelligente ainsi que les connexions entre eux.
La colonne vertébrale d’une ville intelligente sécurisée sera la confiance et les accès. Dans une ville intelligente qui peut compter un million d’interactions différentes entre les citoyens et les fonctionnaires de la ville, entre les appareils IoT et les systèmes de contrôle, entre les terminaux d’information et les touristes, sécuriser toutes ces interactions est nécessaire. Il est important que les utilisateurs, les systèmes et les appareils qui accèdent aux différentes parties d’une ville intelligente soient correctement authentifiés et que les données impliquées soient cryptées, pendant leur stockage ou durant leur transfert. Les certificats numériques utilisant un système d’infrastructure à clé publique (PKI) offrent à cet effet une solution de pointe pour une authentification évolutive, automatisée et interopérable et une expérience utilisateur harmonieuse.

L’intégrité de chacun de ces innombrables dispositifs doit être prise en charge et les cyber-spécialistes des villes intelligentes devront s’assurer que les appareils IoT peuvent démarrer en toute sécurité. Les administrateurs doivent également utiliser la signature de code pour sécuriser le logiciel envoyé à ces appareils. La signature de code garantit qu’une mise à jour OTA (Over The Air) est digne de confiance, qu’elle a été écrite par un acteur de confiance et qu’elle n’a pas été manipulée en route.
L’enquête 2018 sur l’état de l’IoT de DigiCert a révélé que les organisations qui planifient une adaptabilité sont beaucoup mieux préparées pour faire face aux menaces de sécurité liées à l’IoT. Il ne s’agit pas seulement de prévoir un grand réseau IoT, mais de le construire en sachant qu’il va grandir dans l’avenir.

Ce qu’il faut retenir ici c’est la performance. Les à-coups et les pannes de service sont ennuyeux pour les entreprises mais encore beaucoup plus sérieux quand il s’agit d’infrastructures civiques. La disponibilité et la sécurisation des données et des systèmes sera d’une importance capitale pour les futures villes intelligentes.
L’infrastructure à clé publique (PKI) représente une force puissante pour s’attaquer à ce genre de problème. Perfectionnée au fil des années de service en WEB-PKI, la solution s’est avérée apte à protéger les grands services et réseaux de paiement multiformes. Ce pourrait être la même chose pour les villes intelligentes.
Allons encore plus loin. Les menaces quantiques pour les appareils IoT pointent à l’horizon, promettant d’anéantir une grande partie du chiffrement moderne. Les organisations peuvent envisager de mettre à niveau leurs clés de 128 à 256 bits que l’informatique quantique n’a pas encore battues. Entre temps, Microsoft et ISARA travaillent avec DigiCert pour construire des algorithmes qui protégeront l’IoT contre les cybermenaces quantiques.

Une version pleinement concrétisée de la ville intelligente pourrait prendre du temps. Mais, comme nous continuons à innover et à informatiser le monde réel, les divers environnements urbains et leurs infrastructures sont déjà attaqués. Heureusement, les solutions qui les protègent existent aussi.




Voir les articles précédents

    

Voir les articles suivants