Notre culture technologique ouverte pourrait être notre perte.
L’internet des objets (IoT) est l’interconnexion de millions d’appareils informatiques via l’internet, équipés de capteurs qui reçoivent et transfèrent directement des données sans intervention humaine. Alors que l’IoT se développe pour englober de plus en plus de voitures, d’appareils de cuisine, de thermostats, de serrures de portes, d’assistants à commande vocale et même de pompes à perfusion et de moniteurs cardiaques d’hôpitaux, il offre aux acteurs malveillants de nombreuses possibilités de pirater les systèmes et de faire des ravages.
Un grand danger est que, du fait que les entreprises du secteur privé se livrent une concurrence acharnée pour que leurs produits soient commercialisés rapidement et à bon marché, les ingénieurs en logiciel omettent régulièrement d’intégrer la sécurité dans leurs conceptions. La mise sur le marché de nouveaux produits est prioritaire par rapport à la mise en place de dispositifs de sécurité, et comme la sécurité des concurrents est tout aussi laxiste, sécuriser correctement ces produits de consommation, ce qui entraînerait des retards de plusieurs mois, constituerait un sérieux désavantage concurrentiel. Il en résulte une sorte de course vers le bas : selon une estimation, 70 % de tous les dispositifs IoT présentent des défauts tels que des logiciels non sécurisés et des systèmes de communication non cryptés.
Jusqu’à présent, les entreprises ne sont généralement pas tenues pour légalement responsables des piratages qui percent la sécurité laxiste des appareils grand public. De plus, les entreprises elles-mêmes ne sont guère incitées à sécuriser ou à crypter ces sources de données, car un accès facile leur permet d’obtenir une multitude d’informations sur les utilisateurs. L’ouverture et l’accessibilité sont précieuses ; pour ceux qui veulent nous vendre, avoir des informations sur ce que font des millions de personnes est très lucratif. Mais les profils de notre comportement offrent également des renseignements extrêmement précieux pour ceux qui veulent nous attaquer.
Les consommateurs n’ont que peu ou pas de contrôle sur les informations recueillies par ces dispositifs, car ils ne possèdent pas le logiciel qui les fait fonctionner, ou n’ont pas de contrôle sur ce logiciel. L’internet des objets change la nature de l’achat et de la possession d’objets. Selon le professeur de droit Joshua Fairfield, un changement fondamental des droits de propriété est en cours et nous entrons dans une ère de servage numérique, qui ressemble vaguement à du féodalisme.
Alors que les serfs ne possédaient pas leurs propres terres, maisons ou même outils agricoles, nous possédons généralement le matériel de nos appareils intelligents, mais les entreprises qui les produisent possèdent les logiciels et les informations qu’elles recueillent à notre sujet. Avec certains produits intelligents, même le matériel n’est pas directement propriétaire, mais plutôt loué. John Deere, par exemple, a dit aux agriculteurs qu’ils ne sont pas vraiment propriétaires des tracteurs qu’ils achètent à la société parce qu’ils acquièrent une licence pour le logiciel qui les fait fonctionner. Les agriculteurs ne peuvent pas réparer les véhicules eux-mêmes ou les amener à des ateliers de réparation indépendants.
Comme les appareils IdO sont connectés à l’internet, ils peuvent également être piratés, et les intrusions sont déjà très répandues. Laisserez-vous votre porte d’entrée grande ouverte ? En août 2017, des centaines de serrures connectées à Internet sont devenues inopérantes en raison d’une mise à jour logicielle défectueuse de LockState. Des centaines de propriétaires n’ont donc pas pu verrouiller ou déverrouiller leur maison pendant une semaine.
Les pirates informatiques sont passés de la prise de contrôle à distance de votre PC à la prise de contrôle de votre smart TV ou des caméras de surveillance de votre ville. Ils ont piraté des voitures (attaques répétées contre des Jeep Cherokees en 2015 et 2016), des centrales électriques (des logiciels malveillants ont fait tomber des centrales électriques ukrainiennes en 2016), des ampoules intelligentes (des chercheurs ont montré qu’ils pouvaient pirater des milliers d’ampoules intelligentes Philips Hue en 2017) et des machines à voter (un professeur de Princeton en a piraté une en sept minutes).
Les outils de piratage de l’IoT sont relativement peu coûteux et largement accessibles aux acteurs non étatiques. Pourquoi s’embêter à placer un dispositif explosif sous une voiture si vous pouvez pirater le système de navigation d’un véhicule et le faire accélérer dans un mur ou sur un pont ? Pas besoin d’assassinat si les pirates peuvent délivrer une dose mortelle d’insuline par le biais du système de communication radio non crypté de la pompe à insuline. Pas besoin de prendre des otages physiques ; il suffit de trafiquer la pompe à perfusion reliée à l’ordinateur d’un hôpital pour provoquer une overdose chez un patient – puis de menacer de faire de même avec d’autres.
Selon le cryptographe et expert en sécurité informatique américain Bruce Schneier, les dispositifs de l’IoT sont plus vulnérables que votre ordinateur portable ou votre téléphone, et ce pour plusieurs raisons. La première est que les grandes entreprises comme Apple, Samsung et Microsoft peuvent se permettre d’engager de grandes équipes d’ingénieurs dédiés à la sécurité, alors que les petites entreprises qui fabriquent des serrures et des thermostats intelligents, par exemple, ne le peuvent pas.
Deuxièmement, alors que les gens remplacent leurs smartphones et ordinateurs portables tous les deux ou trois ans, ce n’est pas le cas des réfrigérateurs, pacemakers ou voitures intelligentes, qu’ils conserveront pendant cinq ou dix ans ou plus. Les acteurs malveillants ont beaucoup plus de temps pour découvrir leurs vulnérabilités et, comme les logiciels sont rarement mis à jour, ces vulnérabilités persistent année après année, attendant simplement d’être exploitées.
Pour aggraver les choses, une vulnérabilité dans un appareil connecté à Internet, comme votre routeur domestique, peut être utilisée comme une rampe de lancement pour des attaques contre une série d’autres appareils connectés que vous pourriez posséder. Une seule petite faille et toute votre vie assistée par ordinateur peut être détournée.
La menace d’espionnage et de cyberattaques par les États a fait l’objet d’une grande attention et, en février 2016, le directeur du renseignement national américain James Clapper a averti que l’internet des objets renforcera l’espionnage parrainé par les États, permettant de mieux surveiller, suivre et cibler les individus. La menace d’attaques par des acteurs non étatiques est également élevée. Pour les terroristes, une question essentielle se pose aujourd’hui, comme toujours, à savoir quelles sont les voies d’attaque les plus facilement accessibles ?
D’énormes collections de données constituent des cibles attrayantes, à des échelles de grandeur que les acteurs malveillants non étatiques ne pourraient jamais rêver d’accumuler eux-mêmes. Les États et les entreprises se concentrent sur les fruits potentiels des grandes données plutôt que sur les criminels et les terroristes qui peuvent les pirater.
En connectant tout, des systèmes de défense intérieure aux appareils médicaux, en passant par les entreprises de services publics, les barrages hydroélectriques et l’Internet, nous avons rendu un nouveau moyen d’attaque très accessible. En l’absence de meilleures mesures de sécurité, des processus bien établis de diffusion de l’habilitation mortelle vont se mettre en place.
Au milieu du XXe siècle, les détournements d’avions ont évolué, passant du détournement d’avions vers Cuba à l’abattage d’avions de ligne avec des centaines d’innocents à bord. L’exploitation de l’internet des objets pour prendre des gens en otage ou les attaquer va engendrer des imitateurs de plus en plus violents. Il est essentiel de mettre en place de meilleures mesures défensives.
https://www.engadget.com/2020/01/18/hitting-the-books-power-to-the-people-audrey-kurth-kronin/
Power to the People ou comment l’innovation technologique ouverte arme les terroristes de demain
L’internet est partout autour de nous – dans nos téléphones, nos maisons, nos voitures et même nos grille-pain fours pour une raison quelconque. Le problème est que l’adoption de cette connectivité omniprésente a largement dépassé nos efforts pour sécuriser ces systèmes contre les intrusions illégales, donnant aux mauvais acteurs une pléthore de nouveaux moyens de harceler, intimider, blesser et terroriser leurs cibles.
Dans Power to the People, l’auteur et experte en sécurité de renom Audrey Kurth Cronin, se penche sur l’histoire de l’innovation technologique et ses impacts sur le terrorisme international. De la poudre à canon et de la dynamite aux cyber-attaques, en passant par les systèmes autonomes et l’impression en 3D, ces progrès ont considérablement amélioré notre société mais ont également donné à votre idéologie extrémiste de base un accès aux armes de destruction massive.
https://www.amazon.com/Power-People-Technological-Innovation-Terrorists/dp/019088214X/
