Article Internet des objets , IT pour EAE , Sécurité

Petits dispositifs, gros risques

Cybersécurité de l’IoT

30.05.2024

L’Internet des objets est synonyme de développements passionnants – et de retard en matière de cybersécurité. Et ce, aussi parce qu’il est désormais techniquement possible d’agir au-delà des frontières sans avoir à les franchir physiquement.

Au cours de ces derniers mois, la situation géo­poli­tique de la cyber­sécurité liée à l’Internet des objets (Internet of Things, IoT) s’est gravement détériorée, géné­rale­ment sans attirer l’attention du public. Pendant longtemps, on a supposé implici­tement que les acteurs étatiques tentés de perpétrer des cyber­attaques ouvertes contre les infra­structures, en tant que moyen de poursuivre des objectifs straté­giques et militaires, en étaient fortement dissuadés au niveau inter­national.

Cette hypothèse se comprend mieux si l’on se penche sur le contexte, notam­ment, de l’inter­action entre le droit inter­national de la guerre, la stratégie militaire et la cyber­sécurité. L’avènement de l’infor­matique et l’inter­connexion intégrale des ordinateurs dans la société ont rendu techniquement possible d’agir au-delà des frontières sans avoir à les franchir physi­quement. Des moyens techniques permettent également de dissimuler les traces géographiques des activités infor­matiques, voire de créer de fausses pistes. Il est ainsi difficile, voire impossible, d’identifier les acteurs avec certitude. Il en va autrement dans la manière classique de mener une guerre (guerre cinétique): un char qui franchit une frontière nationale est clairement reconnaissable en tant que tel, et le franchis­sement d’une frontière est également précisément défini. En règle générale, il est aussi possible de déterminer rapidement à qui appartient ce char et à qui doivent être adressées d’éventuelles contre-mesures. Dans le cyber­espace, ces identi­fications sont nettement plus difficiles.

La question clé a longtemps été de savoir si les activités cyber­nétiques pouvaient provoquer des dommages physiques, voire des fatalités. Autrement dit, le dépas­se­ment de ce seuil activerait, dans le droit inter­national de la guerre, la pos­si­bi­lité de se défendre et l’engagement de défense mutuelle selon l’article 5 de l’OTAN.

Un phénomène mondial

Des dysfonctionnements de composants de capteurs et d’actionneurs assistés par ordinateur peuvent avoir des conséquences massives, voire fatales. Cela concerne aussi bien les systèmes IoT que la technologie opéra­tion­nelle (operational technology, OT), qui est devenue partie intégrante du paysage IoT de manière plutôt imprévue suite à une mise en réseau ultérieure. Ces dernières années, des attaques contre des systèmes d’appro­vision­nement en eau, des hôpitaux, des pipelines, des instal­lations indus­trielles, des caméras et d’autres systèmes ont démontré le potentiel en matière de dommages, allant de la perte de données personnelles et sensibles, à des atteintes économiques et des fatalités.

En 2010, un ver informatique développé spécialement pour des systèmes OT spécifiques a marqué un premier tournant. Introduit à grand renfort de moyens dans les instal­lations d’enri­chis­sement nucléaire iraniennes, le malware Stuxnet a entraîné des affichages opéra­tionnels erronés dans les systèmes de surveil­lance, une saturation des vitesses de processus et, finalement, la destruction des centri­fugeuses.

En 2022, l’OTAN a cité les activités cyber­nétiques comme motif possible d’activation d’un cas de défense au sens de l’article 5 et a constaté que des activités inférieures au seuil cinétique classique pouvaient également être consi­dérées en tant que déclencheurs dans leur ensemble [1]. Les zones grises typiques mentionnées ci-dessus, telles que l’iden­tifi­cation respective des acteurs, sont traitées en tant que telles et étudiées au cas par cas. La gestion des activités cyber­nétiques dans l’espace inter­national reste néanmoins un défi.

Dans les faits, l’état actuel de la cyber­sécurité de l’IoT contraste fortement avec cette situation. Des outils d’analyse sophis­tiqués dispo­nibles librement, de plus en plus soutenus par l’intel­ligence arti­fi­cielle, permettent d’iden­tifier les dispo­sitifs non sécurisés et les points faibles. Les systèmes non protégés représentent des portes d’entrée idéales pour les systèmes cibles en aval, tels que les infra­structures infor­matiques ou les capteurs et actionneurs, et permettent des extor­sions par ransom­ware, des fuites de données, du crypto­mining, des atta­ques DDOS ou des sabotages.

Parallèlement, des mots de passe peu sûrs, voire inexistants, et des ports ouverts constituent les principales portes d’entrée dans les systèmes IoT, et une part consi­dérable des logiciels mal­veillants utilisés dans ce domaine se basent sur des malwares connus depuis longtemps, tels que Mirai [2].

De même, les routeurs Internet et les caméras restent les principales cibles des attaques depuis des années. Pourtant, ces objets sont toujours en grande partie ou complè­tement livrés sans mesures ni instruc­tions en matière de sécurité renforcée. La récente annonce de l’entre­prise Dreamlab, qui a identifié plus de 100'000 routeurs suisses non sécurisés, n’en est qu’un exemple [3].

Cette manière paradoxale de procéder avec l’IoT a également été mise en évidence par une enquête du Rogers Cybersecure Catalyst Fellowship Program de l’Université métropolitaine de Toronto. Les experts en sécurité infor­matique étaient d’accord avec les utilisateurs ordinaires: l’IoT n’est pas sûr et le restera proba­blement, mais il est tout de même utilisé, y compris à titre personnel, dans les domaines les plus sensibles [4].

L’état de sous-développement de la cyber­sécurité de l’IoT contraste fortement avec le niveau de dévelop­pement de l’IoT. Aux générations de routeurs, d’imprimantes et de caméras s’ajoutent des appareils smart home tout comme des essaims de RoboBees, ou abeilles artifi­cielles (figure de titre). L’utilisation de l’intel­ligence arti­fi­cielle sur les dispositifs IoT et l’adéquation des méthodes de cryptage pour l’ère naissante de l’infor­matique quantique constituent déjà des critères dans les processus d’achat.

L’état contradictoire de la cybersécurité de l’IoT

Le succès des technologies numériques à tous les niveaux de la société a chamboulé des classi­fications qui étaient claires auparavant. Peu d’utili­sateurs en sont conscients. Ceci est pratique pour les cyber­attaquants de toutes sortes: avec la diffusion étendue et non réglementée des dispositifs IoT, une énorme surface d’attaque est disponible, exploitée en grande partie par des utili­sateurs qui ne se doutent de rien. Et les utili­sateurs qui souhaitent améliorer la protection de leurs appareils, ou même simplement l’évaluer, sont confrontés à une tâche difficile. Souvent, les four­nis­seurs ne connaissent eux-mêmes pas en détail toutes les infor­mations perti­nentes telles que les flux de données ou les accès à distance. De plus, l’absence de normes rend l’éva­lua­tion difficile: à quel point un produit est-il sûr en compa­raison d’un autre? Est-il suffisamment sûr? Quelle est la défi­nition exacte de la sécurité, et cette défi­nition doit-elle être la même pour différents usages?

Pour les fabricants IoT, une sécurité accrue représente un dilemme. Tant qu’elle n’est ni véri­fiable ni compa­rable pour les clients en raison de l’absence de normes spéci­fiques, il n’en résulte qu’un produit plus compliqué à utiliser, avec des coûts éventuel­lement plus élevés. Du point de vue de la concur­rence, sans réglemen­tation contrai­gnante et uniforme, les fournisseurs ne sont guère incités à rendre leurs appareils plus sûrs.

La législation s’occupe de plus en plus de cette théma­tique. Diverses lois, normes et directives sont désormais entrées en vigueur ou sont en cours de consul­tation. L’une des lois les plus ambitieuses est le Cyber Resilience Act de l’UE, attendu cette année, qui couvre aussi bien les appareils IT classiques que les dispo­sitifs IoT et OT. Avec une période de transi­tion de trois ans, cette loi modifiera consi­déra­blement le marché de l’IoT et mettra les fabricants et les fournisseurs face à leurs respon­sabi­lités. En Suisse, la nouvelle loi sur la sécurité de l’infor­mation (LSI) se concentre d’abord sur les institutions fédérales et les infra­structures critiques. Les implications des exigences relatives à la protection des données pour les systèmes IoT, comme avec la loi sur la protection des données (LPD) totalement révisée, entrée en vigueur en Suisse en 2023 sans période de transition, sont souvent négligées. Or, ce sont justement les dispo­sitifs IoT, avec leur flux de données souvent globalisé, leur faible niveau de sécurité et leur visibilité fréquemment réduite dans le réseau, qui néces­sitent une attention parti­culière à cet égard. Toutes les parties concernées ne sont pas toujours pleinement conscientes de la technologie utilisée.

Des définitions différentes compliquent la standardisation

À l’échelle globale, les approches de solutions légales varient consi­déra­blement. Rien que la définition des dispositifs réglementés va de descriptions de composants très détaillées dans des cas d’appli­cation étroitement définis, à des exigences indépen­dantes de la technologie pour les actions autour des infor­mations. Ainsi, selon les deux défi­nitions de la figure ci-contre, un compteur intelligent serait un dispo­sitif IoT. Un ordinateur portable répondrait à la défi­nition générale, un smart­phone aux deux – certaines directives en matière de cyber­sécurité de l’IoT excluent toutefois expli­cite­ment ces appareils, bien que les smart­phones, au moins, soient à la fois des appareils infor­matiques classiques et des dispositifs IoT du fait de leurs capteurs et de leur système d’exploi­tation.

Alors que l’approche détaillée présente l’avantage d’être véri­fiable, elle limite en même temps la portée des normes de sécurité et n’est guère efficace. Dans l’autre approche, le manque d’acuité rend diffi­cile la véri­fiabi­lité, mais aussi les ins­truc­tions de mise en œuvre. Les exploitants sont confrontés à un manque de clarté et au risque de devoir éven­tuel­lement s’y résoudre. En cas de dommage, la ques­tion est alors de savoir comment évaluer un niveau de sécurité non défini ou techni­quement irréalisable – suffit-il que tous les appareils disposent du même faible niveau de sécurité? Les systèmes peu sûrs doivent-ils être retirés de l’exploi­tation et, si tel est le cas, selon quels critères? C’est là qu’apparaît le défi consistant à initier à temps le dialogue entre les réalités du légis­latif, de la recher­che et de la pratique.

Dans l’ensemble, la cyber­sécurité de l’IoT se développe de plus en plus en tant que facteur économique, concur­rentiel et géo­gra­phique. Pour les entre­preneurs, autant les questions relatives à la respon­sabi­lité qu’au maintien de la compé­ti­ti­vité et à la fiabi­lité opéra­tion­nelle du site deviennent pertinentes face à l’aug­men­ta­tion des cyber­attaques. Pour les fabricants de produits IoT, il semble que la sécurité soit de plus en plus demandée au niveau inter­national.

Actuellement, on part du principe qu’un système IoT n’est vrai­sembla­blement pas sûr et qu’il est probable qu’il soit déjà, ou bientôt, piraté. Bien que les défis de la cyber­sécurité spéci­fique à l’IoT soient encore consi­déra­bles, les derniers déve­lop­pe­ments montrent que la sécurité de l’IoT arrive lentement à maturité. Il s’agit donc de mettre rapi­dement en œuvre les tâches en matière de sécurité, de suivre atten­ti­vement les déve­lop­pe­ments actuels, qui sont très dynamiques, et d’être préparé à l’éven­tua­lité d’une panne des dispositifs IoT. Selon le dicton bien connu: «Mieux vaut prévenir que guérir».

Références

[1] Sarah Wiedemar, Center for Security Studies (CSS), ETH Zürich, Nato and Article 5 in Cyberspace, CSS Analyses in Security Policy, mai 2023.
[2] M. Freunek, A. Rombos, «Classification of cyber attacks on IoT and ubiquitous computing devices», arXiv, décembre 2023.
[3] Dreamlab, «Swiss Cyberspace: 100’000 Unprotected Routers Exposed Online». 16 février 2024.
[4] M. Freunek, «The Internet of Things exposes us all to the biggest cyber threats», Toronto Star, 20 mars 2023.

 

Auteure
Dr.-Ing. Monika Freunek

est directrice de Lighthouse Science Consulting and Technologies Inc., au Canada, et chargée de cours en cybersécurité à l’Université métropolitaine de Toronto.

  • Lighthouse SCT
    New Brunswick
    Canada

Commentaire

Veuillez additionner 9 et 7.