Skip to content

Les experts en sécurité avertissent le Congrès que l’Internet des objets pourrait tuer des gens

Les webcams et autres dispositifs branchés à Internet mal sécurisés sont déjà utilisés comme armes dans les cyberattaques. Le gouvernement peut-il empêcher que cela ne devienne un problème catastrophique ?

Par Mike Orcutt – 5 décembre 2016, MIT

La masse croissante de dispositifs mal sécurisés sur l’Internet des objets représente un risque sérieux pour la sécurité des personnes et des biens matériels, et le gouvernement doit agir pour l’atténuer. Voilà essentiellement les propos que des éminents experts en sécurité informatique ont récemment tenus au Congrès.

L’attaque fulgurante de déni de services (DoS) déclenchée en octobre et qui a paralysé le fournisseur d’infrastructures Internet Dyn et mis KO une grande partie du Web pour les usagers de l’Est des États-Unis était « bénigne » selon les dires de Bruce Schneier, réputé chercheur en matière de sécurité et conférencier sur la politique publique à Harvard, lors de la dernière audience tenue par le House Energy and Commerce Committee. Il n’y a pas eu mort d’homme, mais il a ajouté que l’attaque, menée par un réseau de bots informatiques (Botnet) constitué de caméras Web, de caméscopes, de moniteurs pour bébés et autres dispositifs piratés, nous montre les « risques catastrophiques » que comporte la prolifération d’objets non sécurisés sur Internet.

Par exemple, Schneier et d’autres experts ont souligné que cette même sécurité précaire existe dans les ordinateurs des hôpitaux, y compris dans ceux utilisés pour gérer les ascenseurs et les systèmes de ventilation. On peut imaginer sans peine un possible désastre fatal, soulignant l’urgence du gouvernement de prendre les choses en main pour remédier à cette « lacune du marché », selon Schneier.

Les problèmes des dispositifs IoT s’aggravent en raison du manque d’intérêt des manufacturiers envers la priorisation de la sécurité. Même si les consommateurs souhaitaient le faire, il n’existe aucun moyen d’évaluer le niveau relatif de sécurité d’un thermostat ou d’un autre dispositif branché à Internet.

À peu près tout le monde s’entend pour dire que le gouvernement devrait agir face à cette situation, puisque bon nombre de systèmes indispensables sont vulnérables aux attaques comme celle qui a frappé Dyn. La façon dont le gouvernement devrait traiter cette situation fait cependant l’objet d’un intense débat à Washington, qui ne sera pas réglé avant le début du mandat du président élu Donald Trump. Des groupes d’entreprises comme la U.S. Chamber of Commerce et la Consumer Technology Association allèguent que de nouveaux règlements visant les dispositifs IoT pourraient entraver l’innovation.

Schneier avance que nous avons besoin d’un nouvel organisme chargé des règles en matière de cybersécurité. Ce qui semble peu probable, puisque Trump avait établi sa campagne sur la vaste promesse de faire marche arrière dans les règlements et que les républicains sont généralement opposés à toute expansion du gouvernement. Mais si une catastrophe survenait, le public apeuré exigerait probablement que quelque chose soit fait, et le gouvernement devrait y être préparé, a-t-il averti les membres du comité.

Quelle est l’ampleur du risque? Colossale et croissante, affirme Kevin Fu, professeur en informatique et en ingénierie de l’Université du Michigan spécialisé en cybersécurité. Non seulement les dispositifs IoT sont implantés dans des « endroits névralgiques à conséquences directes, comme des hôpitaux », souligne Fu, mais des millions de ces appareils peuvent aisément être piratés et réunis en d’énormes réseaux de botnets, armées d’ordinateurs zombies pouvant être utilisées par des adversaires pour affaiblir des institutions ciblées.

Fu, qui a également témoigné à l’audience du comité, estime que sans « changements significatifs en matière de cyber-hygiène », on ne peut se fier à Internet pour soutenir les systèmes névralgiques. Il recommande que le gouvernement mette sur pied une entité indépendante chargée d’évaluer la sécurité des dispositifs IoT. Cette évaluation devrait comprendre des tests avant mise sur le marché comme les essais de collision automobile effectués par la National Highway Traffic Safety Administration, des tests après collision similaires à ceux que le National Transportation Safety Board effectués à la suite d’accidents de voiture, et des essais « de survivabilité et de destruction » pour évaluer la façon dont les dispositifs gèrent les attaques, fait valoir Fu.

Nous ne savons pas encore si l’administration Trump ou le prochain Congrès priorisera le dossier des risques liés à l’IoT. Alors, que peut faire le gouvernement d’ici là ? Le mois passé, le département de la Sécurité intérieure a publié un ensemble de « principes stratégiques pour sécuriser l’Internet des objets » et a suggéré que le gouvernement pourrait poursuivre en justice les fabricants qui omettent d’« intégrer à la conception un dispositif de sécurité ». Le même jour, le National Institute of Standards and Technology, qui publie des normes industrielles pour nombre de secteurs de la technologie, a émis des directives volontaires pour la conception de systèmes connectés « plus défensifs et aptes à survivre ».

Pendant ce temps, tout nouvel ordinateur connecté, que ce soit dans une voiture, un drone, un dispositif médical ou dans l’un des innombrables autres gadgets et systèmes, est exposé à ces risques; d’où le besoin d’un organisme de réglementation centralisé, selon Schneier : « Nous ne pouvons pas avoir des règles différentes si l’ordinateur a des roues, ou des hélices, ou pour celui qui fait des appels téléphoniques, ou est implanté dans votre corps. »

Traduction Stéphanie S.

MIT Technology Review


La GSM Association (GSMA) a publié le 9 février 2016 un ensemble de documents dont l’objectif est d’apporter plus de sécurité à l’Internet des Objets.

english-iconDownload Overview Document

english-iconDownload Service Ecosystem Document

english-iconDownload Endpoint Ecosystem Document

english-iconDownload Network Operator Document

english-iconDownload zip pack containing all documents

5 Comments »

  1. Internet des Objets & cyberattaques, Ne soyez pas étonnés, nous savions que cela se produirait un jour – juillet 2017 par Hervé Dhelin, Stratégie SVP chez EfficientIP

    Des caméras connectées, des distributeurs automatiques ou encore des ampoules lumineuses ont été le vecteur des dernières cyber-attaques. Ce n’est là que le début d’une longue liste d’objets connectés qui seront utilisés par les pirates pour attaquer des entreprises ou voler des données

  2. Un sujet qui mérite des débats. Je trouve qu’avec le contexte géopolitique actuel, la sécurité des données informatiques est déjà remise en cause et que les solutions et les mesures tardent à être appliquer.

  3. Votre article nous parle de chose très grave concernant l’usage d’Internet surtout qu’il touche le bien-être et la sécurité des consommateurs. Espérons que le gouvernement puisse réagir et prendre des mesures face à une telle situation.

Laisser un commentaire

Shares