Le réveil de l’armée des « ultracorps » ou le danger de connecter à Internet des objets que nous ne protégeons pas | Technologie

A tout fan de la série Patriel’attaque contre les bipeurs du Hezbollah vous est familière. Dans le dixième épisode de sa deuxième saison, intitulé de manière peu originale «Coeurs brisés» (« Cœurs brisés »), un groupe de terroristes provoque un arrêt cardiaque chez le vice-président fictif William Walden en altérant son stimulateur cardiaque sans fil. Un épisode clairement inspiré de Dick Cheney, vice-président des Etats-Unis, celui-là en fait, lors de l’attaque des Twin Towers. Cheney a déclaré dans une interview sur le programme CBS 60 minutes comment son médecin personnel avait ordonné la désactivation de la fonction sans fil de son stimulateur cardiaque par crainte d’une éventuelle attaque. « Cela semblait être une mauvaise idée pour le vice-président de transporter un appareil que quelqu’un, dans la pièce voisine ou à l’étage inférieur, pourrait pouvoir utiliser. pirater», a déclaré son cardiologue, Jonathan Reiner. Cheney lui-même a déclaré que la menace était « crédible ». Nous parlons de 2007, il y a presque 20 ans.

L’« anecdote Cheney » est récurrente dans les forums, réunions et congrès de cybersécurité IoT (internet des objets, dans son abréviation en anglais), c’est-à-dire les objets connectés, implantables ou portables. En tant que bons théoriciens du complot vivant dans un monde menaçant, nous avons été surpris que personne n’ait pris de mesures efficaces pour minimiser le risque d’une des possibilités d’attaque les plus simples ayant le plus grand impact sur l’intégrité physique des personnes. Pensons à toutes les choses autour de nous qui disposent de mécanismes qui leur permettent de faire quelque chose, de laver nos vêtements à nous injecter de l’insuline à partir d’un appareil sous-cutané.

Quelqu’un, dans l’un d’eux battage publicitaire Puisque nous vivons constamment dans un monde technologique, il lui est venu à l’esprit que ce serait une idée sensationnelle de connecter le grille-pain, le réfrigérateur, la porte d’entrée ou le thermostat de chauffage à Internet. Ou une voiture. Ou les systèmes de navigation d’un avion. Si cela ne tenait qu’à moi, j’érigerais plutôt une statue à l’inventeur de la vadrouille plutôt qu’à la personne qui pensait à quel point sa vie serait confortable en allumant la cafetière depuis son lit avec un simple tweet. Cette même personne n’a pas pensé au risque de connecter à Internet un objet branché à l’électricité ou une batterie, avec le potentiel évident de provoquer un incendie ou une explosion. Celui-là même qui a transformé un risque individuel d’accident, soumis à des circonstances industrielles ou environnementales particulières, en un risque planétaire.

Car ce qui fait la différence, c’est la connectivité : un accès universel, en temps réel et à grande échelle. S’il y a une erreur dans un composant ou une vulnérabilité qui peut être exploitée, comme c’est la même dans tous les produits ou dans les mêmes composants installés dans différents produits, lancer une seule attaque atteindra des millions d’appareils et, par conséquent, leurs propriétaires. . Contrairement aux attaques ciblées comme celles de Cheney ou la fiction de Patrieune vulnérabilité dans un appareil connecté pourrait affecter simultanément des millions d’utilisateurs, comme nous l’avons vu lors de l’attaque contre le Hezbollah (également ciblée, mais de nature massive).

Imaginez un scénario dans lequel un attaquant pourrait prendre le contrôle de millions de thermostats intelligents en pleine canicule, augmentant les températures à des niveaux dangereux, tout en verrouillant les portes connectées des maisons. Ou les conséquences d’une attaque coordonnée sur les systèmes de freinage des véhicules connectés aux heures de pointe dans une grande ville. Ou encore tous les stimulateurs cardiaques St. Jude Medical (qui font désormais partie d’Abbott) implantés chez des patients (environ 465 000) qui ont été rappelés en 2016 par l’Agence américaine des médicaments. Certains modèles de stimulateurs cardiaques implantables et de défibrillateurs cardiaques de la marque présentaient une faille de sécurité qui permettait : par une attaque à distance, pour altérer le fonctionnement de l’appareil et provoquer un choc électrique mortel ou épuiser prématurément la batterie. Patrie dans sa forme la plus pure.

Cette annonce a modifié la production de dispositifs médicaux aux États-Unis, mais elle n’a eu aucun impact sur la manière dont sont fabriqués les objets qui se connectent. Les mêmes qui disposent de capteurs pour percevoir la réalité (température, lumière, orientation, détecter une baisse de glycémie ou une arythmie) et d’actionneurs pour intervenir dans le monde physique (éteindre les lumières, allumer une rue, choquer le cœur d’une personne). ou injecter de l’insuline); tous fabriqués, directement ou indirectement, en Chine. Ce qui nous amène au contrôle de la chaîne d’approvisionnement, un autre problème qui a été révélé lors d’incidents récents d’objets explosant par télécommande. Chaque composant d’un appareil connecté, des puces aux logiciels, passe entre plusieurs mains avant d’atteindre le consommateur final. Chaque étape de ce processus représente une opportunité d’introduction de vulnérabilités, qu’elles soient accidentelles ou malveillantes. Ou encore d’y attacher une couche d’explosif indétectable.

En Europe, diverses initiatives législatives comme la directive NIS2 ou DORA (Digital Operational Resilience Act) établissent l’obligation pour les entreprises des secteurs concernés (banques, services numériques, transports, assurances, etc.) de contrôler la chaîne des fournisseurs qui fournissent eux. Ils fournissent des services ou des produits numériques. Ceci, qui semble très simple, commence par la complication que dans notre pays, par exemple, les différents ministères ne s’accordent pas sur qui devrait superviser les entreprises. Au point que nous sommes à la veille de la période d’adaptation et qu’elle n’a pas eu lieu et qu’elle ne semble pas avoir lieu. Mais même si nous disposions de la législation la mieux rédigée et de l’administration la plus efficace, nous ne résoudrions pas une attaque comme celle du Liban car elle ne s’applique pas aux appareils connectés qui sont régis par une norme de sécurité des produits antédiluvienne. Sans parler du défi monumental que représente la traçabilité des composants, compte tenu de la nature mondiale et complexe des chaînes d’approvisionnement modernes.

Bref, nous connectons à Internet des choses que nous ne protégeons pas et qui sont susceptibles de se retourner contre nous comme une armée d’ultracorps dirigée par quelqu’un qui n’a pas besoin de grandes connaissances pour provoquer l’effondrement. Et puis ils nous traitent d’alarmistes.