De l’orgie de données au hacking de pacemaker, il n’y a qu’un pas. Les objets connectés posent des questions de sécurité.
« La situation n’est pas bonne du tout.” Rien ne va déjà plus dans l’univers des objets connectés. A en croire ce responsable de la cyberdéfense en France, qui s’exprime sous couvert d’anonymat, nous avons même de la chance : “Heureusement que personne ne s’y attaque, ou alors uniquement pour trouver des failles sans les exploiter !”
{"type":"Pave-Haut2-Desktop"}
Du côté des experts réseau, rares sont en effet ceux qui considèrent l’internet des objets comme un inoffensif inventaire à la Prévert. Ou même un épiphénomène. “Les objets connectés, ce n’est pas demain, c’est aujourd’hui, reprend notre expert. Ce n’est pas de la science-fiction mais la réalité. Les barrages, les usines, les feux rouges, tout est connecté.”
“A partir du moment où c’est connecté, il y a un risque”, poursuit Bruno Spiquel, entrepreneur et geek autoproclamé. Ce passionné de bidouille et d’électronique s’est lancé un défi : transformer lui-même sa maison en un petit bijou de la domotique.
“Je sais quand le frigo a été ouvert et à quelle heure. J’ai des capteurs d’ouverture et de fermeture des fenêtres et des portes, des volets motorisés, des détecteurs de mouvement, de température, de lumière. Mon chauffage s’allume à distance. Je surveille la consommation en électricité et en eau. Je sais même quand le facteur passe à ma boîte aux lettres.”
Des pelletées d’informations qu’il stocke précieusement chez lui, en les protégeant par plusieurs couches de sécurité. Le risque d’intrusion est selon lui “minimal”. Mais “des précautions comme peuvent les déployer des geeks comme moi ne sont pas accessibles à tout le monde”. La plupart des gens tentés par l’expérience de la maison intelligente se fournissent chez des équipementiers ou des fournisseurs d’accès à internet qui se sont lancés dans l’aventure. “Là, il faut juste un login et un mot de passe pour accéder à toutes les données de la maison que le constructeur met dans le cloud.”
“Le premier qui met la main sur ces données, c’est le jackpot ! »
La vie et le pouls du quotidien de ces clients se retrouvent alors dans les entrailles du réseau. Et entre les mains d’une entreprise, à la manière des documents que l’on enregistre aujourd’hui chez Google ou ailleurs. A priori hors de portée. Mais “le premier qui met la main dessus, c’est le jackpot ! Il peut alors faire fermer tous les volets des clients, les déconnecter… Ou autre chose, prévient Bruno Spiquel. On a tout le cocktail pour que ça pète!”
Le hijacking d’objets connectés n’est donc pas un simple fantasme de hackers. Preuve en a été faite à de multiples reprises. Barnaby Jack, expert en sécurité informatique décédé cet été dans des conditions inexpliquées, a fait frissonner ses confrères en démontrant comment pirater à distance une pompe à insuline ou un pacemaker façon Homeland. Le risque est pris très au sérieux, même si la cyberapocalypse n’est pas à la portée du premier venu. Selon Philippe Langlois, directeur de l’entreprise de sécurité P1 Security, “très peu de personnes sont capables de réaliser ce genre de piratage”.
Ce qui n’empêche pas l’Agence nationale de la sécurité des systèmes d’information (Anssi), en charge de la cybersécurité française, de s’être saisie du sujet il y a un an. Elle travaille maintenant avec les industriels et les PME pour sécuriser les produits mis sur le marché. La Commission nationale de l’informatique et des libertés (Cnil) entend aussi tenir ce rôle afin de s’assurer que la vie privée des individus ne soit pas compromise par notre société toujours plus connectée. “La reprogrammation des objets et l’intrusion font partie des risques, concède Gwendal Le Grand, chef du service de l’expertise informatique. Ce sont des technologies prometteuses, mais nous nous assurons qu’elles soient suffisamment sécurisées et au service des citoyens.” Les nouveaux compteurs électriques en ont déjà fait les frais.
Une quantité faramineuse de données
De l’autre côté du spectre, les objets connectés posent aussi la question de la surveillance. Avec d’autant plus d’insistance : les utiliser, c’est produire une quantité faramineuse de données. Un enquêteur français évoque “un nouveau champ de comportements, d’usages et d’enjeux de traçabilité des victimes et des délinquants…”
“De la même façon que le téléphone portable a été vite utilisé par les services de police et de renseignement, les données de l’internet des objets le seront. C’est fabuleux pour les enquêteurs”, analyse Philippe Langlois.
Ce que confirme à demi-mot le responsable de la cyberdéfense, qui s’inquiète plus de l’absence de données que de leur profusion dans le cadre d’investigation. “Les gens n’ont pas foncièrement changé, c’est juste qu’ils diffusent de l’information”, entend-on dans la bande-annonce du jeu vidéo Watch Dogs, la prochaine grosse production d’Ubisoft, dont le héros est un pirate informatique, ex-gangster. Un simple changement de comportement qui pourrait pourtant transformer le monde en un immense terrain de jeu pour hackers et surveillants.
Pierre Alonso et Andréa Fradin
{"type":"Banniere-Basse"}
