Gérer les risques aujourd'hui et demain

Frans Imbert Vier (Ubcom) : « En quelques minutes à peine, un hacker peut prendre le contrôle total d'un objet connecté »

17-01-2017

Interview de Frans Imbert Vier, PDG d'Ubcom. Cette société de conseils en cybersécurité et gouvernance des organisations intervient sur des missions de confidentialité en environnement complexe. Son patron nous confie les préoccupations au sujet de la vulnérabilité des objets connectés.

Frans Imbert Vier, PDG d'Ubcom.
© D.R.
L'invasion soudaine des objets connectés sur le marché va-t-elle poser de nouveaux enjeux pour la sécurité informatique ?

Sans en avoir conscience, nous sommes de plus en plus entourés d'objets connectés. Et les répercussions d'un piratage s'inscrivent de plus en plus dans le monde réel. On évalue à 40 milliards le nombre d'objets connectés [Internet of Things (IoT) ; en français : Internet des objets (IDO), NDLR] en 2020. Face à cela, de très nombreux objets intégrant de l'intelligence ont abreuvé le marché sans pour autant qu'on ne les considère comme des objets connectés. L'exemple le plus parlant étant celui des véhicules intégrant de l'intelligence, et qui ne rentrent pas dans les statistiques de l'IoT. Pour combler cette lacune, le risque est phénoménal car ces objets n'ont pas été conçus en fonction de critères de sécurité informatique. Du coup, sans facteur de sécurité, l'objet est totalement ouvert et c'est le cas dans 99% des produits connectés vendus sur le marché ! D'ailleurs, il est devenu si facile de pirater l'IoT qu'il suffit de quelques minutes pour en prendre le contrôle total.

Doit-on craindre une menace terroriste à partir d'objets connectés ?

Je ne pense pas. En effet, le cyberterroriste n'est pas sur le terrain, il prépare ses coups dans sa cave. Or, pour mettre en péril un objet, il faut se trouver à proximité. C'est-à-dire à portée du WiFi. De plus, un cyberterroriste n'a pas la puissance informatique pour s'attaquer à un Etat. Donc, son action au niveau national est peu probable. Si l'on devait envisager un scénario catastrophe, la menace se situerait plutôt au niveau politique : en prenant le contrôle total des moyens de communication, on coupe les fils des échanges libres. Ainsi tue-t-on la parole et éteint-on la démocratie. Ajoutons à cela le risque civil, par exemple, en s'attaquant à une chaîne alimentaire, au traitement de l'eau, ou aux infrastructures de transformation des produits de base tels que le blé. En sapant le processus industriel, on paralyse l'économie et c'est la famine !

Quelles sont les attaques les plus emblématiques sur les objets connectés ?

En première ligne, l'affaire du Stuxnet, un vers informatique conçu en 2010 par la National Security Agency (NSA) américaine et par les services secrets israéliens pour porter atteinte au fonctionnement aux centrifugeuses d'enrichissement d'uranium en Iran. C'est le premier ver découvert qui espionne et reprogramme des systèmes industriels au moyen de l'introduction d'une clef USB infectée. A ce titre, des millions de clés USB ont été contaminées par ce virus. Et ce, dès leur manufacture, le but étant d'abreuver le marché avec ces codes dormants jusqu'à ce que l'une d'elles atteigne enfin sa cible et la détruise. Retenons aussi l'affaire des ampoules connectées. Une équipe de chercheurs est parvenue à pirater à distance le modèle Hue de Philips qui permet de gérer l'éclairage de son domicile. Pour ce faire, Eval Ronen, du Weizmann Institute of Technology (Israel) et Colin O'Flyn, de la Dalhousie University (Halifax, Canada), ont conçu une fausse mise à jour de l'appareil, avant d'y introduire un logiciel malveillant et de l'envoyer à une ampoule cible. Le programme en question a ainsi pu conduire l'objet contaminé à attaquer les autres ampoules de son réseau de sorte que les chercheurs ont pu en prendre le contrôle. Cela prouve à quel point il est difficile de gérer la sécurité de tels objets. Même pour une grande entreprise qui emploie des techniques de cryptographie pour protéger ses produits. Enfin, plus récemment, une cyberattaque d'une ampleur inédite s'est servie d'objets connectés non sécurisés, en l'occurrence une caméra vidéo, pour viser le plus grand opérateur des noms de domaines, Dyn, avec une attaque par déni de service distribué (DDoS). Ce qui a valu de plonger dans le noir pendant 24 heures, tous les serveurs des entreprises dont le nom de domaine était géré par ce groupe. Y compris ceux de grands sites Web. Une attaque totalement inoffensive mais impressionnante d'efficacité et qui alerte sur la vulnérabilité des objets connectés. Sachant qu'on installe en moyenne en France près de 1.000 caméras par jour, il y a de quoi s'inquiéter.

A quelles solutions peut-on recourir ?

Bien des industriels sont pris dans une course à l'innovation. Ils considèrent que les critères de sécurité informatique ralentissent la sortie du produit et engagent des coûts supplémentaires. Cela explique le manque de critères de sécurité dans la plupart des objets connectés. Toutefois, certains leaders, comme Apple, Samsung et Motorola, mènent une politique de ''Fuzzing'' industriel. Laquelle consiste à augmenter le durcissement de l'équipement afin de dissuader toute personne de s'y introduire. Il s'agit alors d'introduire une blackbox, comme celle de Beyond Security. Ensuite, ce programme informatique va injecter un code, tel qu'une instruction de programme dans l'objet, et voir comme ce dernier réagit. Objectif : tester les remparts de l'objet et en trouver ses failles. Sachant qu'il existe des millions de combinaisons possibles. Une telle démarche est non seulement un gage de pérennité industrielle, mais aussi un signe de maturité professionnelle dont seul les leaders de l'électronique ont fait preuve. Cette démarche est d'autant plus importante qu'il n'existe pour l'heure, aucune législation fixant les normes de la sécurité informatique des objets connectés.


Propos recueillis par Ségolène Kahn

Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.

Vos réactions (0)

Soyez le premier à réagir / Signaler un abus

Réagissez

Votre adresse email ne sera pas publiée
Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.