Internet finira par vous tuer, ou les conséquences du tout connecté tout le temps

Internet des objets

Exclusif

Alors que l’Internet des objets est de plus en plus présent dans notre quotidien, plusieurs se posent des questions importantes quant à la sécurité de ces systèmes. Force est de constater qu’à notre insu, plusieurs aspects de nos vies sont complètement dépendants des technologies.

De plus en plus d’appareils possèdent toutes les caractéristiques d’un PC conventionnel : une connectique réseau, une adresse IP, un système d’exploitation, de la mémoire vive, de l’espace de stockage et de la puissance de calcul. Si ces objets connectés (ou intelligents) sont ainsi de véritables ordinateurs, ils peuvent par conséquent être la cible d’attaques informatiques diverses.

Bien que ce genre d’attaque reste relativement rare, surtout parce que ces cibles ne représentent pas pour l’instant d’intérêts financiers, la situation pourrait toutefois rapidement changer.

Ce genre d’attaque reste relativement rare, surtout parce que ces cibles ne représentent pas pour l’instant d’intérêts financiers. La plupart des pirates informatiques préfèrent un gain financier plus direct et rapide, par exemple, en volant des numéros de carte de crédit.

La situation pourrait toutefois rapidement changer, et ce, pour deux raisons.

D’abord, les modes de paiement plus sécurisés, comme Apple Pay, se mettent tranquillement en place, ce qui réduit le terrain de jeu des pirates informatiques. Ainsi, ces derniers seront à la recherche d’autres opportunités criminelles, et les objets connectés pourraient faire partie du lot.

Ensuite, les rançongiciels sont de plus en plus populaires. Il s’agit de bloquer l’utilisation d’un appareil ou d’un service tant et aussi longtemps que l’utilisateur n’aura pas payé une rançon. Actuellement, la majorité des rançongiciels s’attaquent aux données personnelles, empêchant l’utilisateur d’accéder à ses photos ou ses documents Word par exemple. Cependant, on peut aisément prévoir que ce type d’attaque s’élargira et visera éventuellement les objets connectés. Cela peut paraître farfelu, mais lorsqu’un pirate bloquera votre compteur intelligent au beau milieu de l’hiver, ce le sera peut-être un peu moins.

Plus dérangeants que dangereux

La plupart des cas de piratages d’objets connectés répertoriés sont plus dérangeants que réellement dangereux, comme les piratages de frigos connectés ou de vidéopokers. Feu Barnaby Jack, célèbre chercheur en sécurité informatique, avait démontré qu’il était possible de faire cracher des billets de banque aux guichets automatiques. Ce genre de technique pourrait toutefois se populariser.

Néanmoins, plus ces objets intelligents deviendront présents et encore plus fonctionnels, plus les chances sont grandes pour que leurs fonctions premières soient détournées par des gens malintentionnés ou par des manœuvres accidentelles.

S’attaquer aux appareils médicaux

Le secteur de la santé utilise de plus en plus les objets connectés et intelligents, ce qui, en matière de sécurité, est inquiétant.

On peut citer l’exemple du vice-président américain Dick Cheney qui est porteur d’un stimulateur cardiaque (pacemaker). Afin de prévenir de potentielles attaques informatiques, on a désactivé les fonctions sans-fil de son appareil. Ce scénario a d’ailleurs fait l’objet d’un épisode de la populaire télésérie Homeland. Si plusieurs sceptiques clament que cette scène était un véritable épouvantail et que de voir des stimulateurs cardiaques tomber aux mains de pirates informatiques semble tiré d’un film de science-fiction, cette possibilité reste pourtant bien réelle.

Le vice-président américain William Walden, lors de sa crise cardiaque dans la télésérie Homeland.

Le vice-président américain William Walden, lors de sa crise cardiaque dans la télésérie Homeland.

Barnaby Jack avait démontré en 2011 qu’il était possible d’injecter une dose létale à un utilisateur de pompe à insuline en exploitant les failles de l’appareil. En 2012, il a même prouvé qu’il pouvait y arriver à une distance d’environ 90 mètres par le biais d’une antenne à haut-gain. Enfin, toujours en 2012, Jack présentait au BreakPoint de Melbourne les résultats de travaux montrant qu’il était possible d’assassiner un porteur de stimulateur cardiaque, confirmant ainsi des travaux théoriques effectués en 2008.

Alors qu’il devait présenter en détail ses travaux sur les implants cardiaques au Black Hat de 2013, Barnaby Jack est décédé d’une overdose quelques jours avant la conférence. De quoi nourrir les adeptes de la théorie du complot.

Un risque qui touche également les automobiles intelligentes

Ce n’est pas parce qu’une chose est possible qu’elle est probable. Par exemple, il est infiniment facile de faire des explosifs. Nos rues ne sont pas pour autant des champs de mines.

L’industrie automobile sera aussi touchée. Les nouveaux véhicules sont équipés d’appareils électroniques très sophistiqués. Du contrôle de l’accélération, en passant par la direction, le freinage le démarrage et le contrôle des portières, plusieurs appareils sont contrôlés par des composantes informatiques.

Ces systèmes sont facilement accessibles, notamment par le biais de divers protocoles sans fil ou tout simplement en passant par Internet, ce qui signifie qu’ils peuvent par conséquent être piratés, affectant la fiabilité même du véhicule.

Inquiétant? Certes. Mais ce n’est pas parce qu’une chose est possible qu’elle est probable. Par exemple, il est infiniment facile de faire des explosifs. Les rues de Montréal ne sont pas pour autant des champs de mines.

Pourtant, il est clair que tous ces nouveaux systèmes connectés et intelligents promettent des routes plus sécuritaires : les ordinateurs sont infiniment plus habiles à déterminer les manœuvres sécuritaires à exécuter lors de situations dangereuses que la moyenne des êtres humains.

C’est cette automatisation qui inquiète cependant. Ainsi, il est rare que des centaines de personnes perdent le contrôle de leur véhicule au même moment (sans l’apport d’un élément extérieur). Par contre, un pirate informatique qui exploiterait une faille d’un véhicule autonome pourrait théoriquement s’attaquer à des milliers de véhicules en même temps.

Pour que l’informatisation des véhicules soit bénéfique, il faut donc espérer que :
(risque avec voiture traditionnelle) > (risque avec voiture informatisée + risque lié au piratage).

Un joli débat en perspective

Dans un cas de piratage avéré de véhicules, qui sera tenu responsable des accidents? Une entreprise mettant en marché un produit connecté pourra-t-elle être tenue responsable d’une faille menaçant l’intégrité des utilisateurs? L’utilisateur sera-t-il tenu responsable s’il ne suit pas les recommandations du fabricant?

Bref, les juristes auront du pain sur la planche.

  • Claude Millette

    Intéressant. La conclusion et l’équation auraient dû être quelque chose comme ceci toutefois : « pour que l’informatisation des véhicules soit bénéfique, il faut que :
    (Risque avec voiture traditionnelle) > (Risque avec voiture informatisée + Risque lié au piratage) »

    • https://branchez-vous.com/ Laurent LaSalle

      Excellente proposition. Avec la permission de l’auteur, je viens de mettre à jour le billet. Merci!