Petits dispositifs, gros risques
Cybersécurité de l’IoT
L’Internet des objets est synonyme de développements passionnants – et de retard en matière de cybersécurité. Et ce, aussi parce qu’il est désormais techniquement possible d’agir au-delà des frontières sans avoir à les franchir physiquement.
Au cours de ces derniers mois, la situation géopolitique de la cybersécurité liée à l’Internet des objets (Internet of Things, IoT) s’est gravement détériorée, généralement sans attirer l’attention du public. Pendant longtemps, on a supposé implicitement que les acteurs étatiques tentés de perpétrer des cyberattaques ouvertes contre les infrastructures, en tant que moyen de poursuivre des objectifs stratégiques et militaires, en étaient fortement dissuadés au niveau international.
Cette hypothèse se comprend mieux si l’on se penche sur le contexte, notamment, de l’interaction entre le droit international de la guerre, la stratégie militaire et la cybersécurité. L’avènement de l’informatique et l’interconnexion intégrale des ordinateurs dans la société ont rendu techniquement possible d’agir au-delà des frontières sans avoir à les franchir physiquement. Des moyens techniques permettent également de dissimuler les traces géographiques des activités informatiques, voire de créer de fausses pistes. Il est ainsi difficile, voire impossible, d’identifier les acteurs avec certitude. Il en va autrement dans la manière classique de mener une guerre (guerre cinétique): un char qui franchit une frontière nationale est clairement reconnaissable en tant que tel, et le franchissement d’une frontière est également précisément défini. En règle générale, il est aussi possible de déterminer rapidement à qui appartient ce char et à qui doivent être adressées d’éventuelles contre-mesures. Dans le cyberespace, ces identifications sont nettement plus difficiles.
La question clé a longtemps été de savoir si les activités cybernétiques pouvaient provoquer des dommages physiques, voire des fatalités. Autrement dit, le dépassement de ce seuil activerait, dans le droit international de la guerre, la possibilité de se défendre et l’engagement de défense mutuelle selon l’article 5 de l’OTAN.
Un phénomène mondial
Des dysfonctionnements de composants de capteurs et d’actionneurs assistés par ordinateur peuvent avoir des conséquences massives, voire fatales. Cela concerne aussi bien les systèmes IoT que la technologie opérationnelle (operational technology, OT), qui est devenue partie intégrante du paysage IoT de manière plutôt imprévue suite à une mise en réseau ultérieure. Ces dernières années, des attaques contre des systèmes d’approvisionnement en eau, des hôpitaux, des pipelines, des installations industrielles, des caméras et d’autres systèmes ont démontré le potentiel en matière de dommages, allant de la perte de données personnelles et sensibles, à des atteintes économiques et des fatalités.
En 2010, un ver informatique développé spécialement pour des systèmes OT spécifiques a marqué un premier tournant. Introduit à grand renfort de moyens dans les installations d’enrichissement nucléaire iraniennes, le malware Stuxnet a entraîné des affichages opérationnels erronés dans les systèmes de surveillance, une saturation des vitesses de processus et, finalement, la destruction des centrifugeuses.
En 2022, l’OTAN a cité les activités cybernétiques comme motif possible d’activation d’un cas de défense au sens de l’article 5 et a constaté que des activités inférieures au seuil cinétique classique pouvaient également être considérées en tant que déclencheurs dans leur ensemble [1]. Les zones grises typiques mentionnées ci-dessus, telles que l’identification respective des acteurs, sont traitées en tant que telles et étudiées au cas par cas. La gestion des activités cybernétiques dans l’espace international reste néanmoins un défi.
Dans les faits, l’état actuel de la cybersécurité de l’IoT contraste fortement avec cette situation. Des outils d’analyse sophistiqués disponibles librement, de plus en plus soutenus par l’intelligence artificielle, permettent d’identifier les dispositifs non sécurisés et les points faibles. Les systèmes non protégés représentent des portes d’entrée idéales pour les systèmes cibles en aval, tels que les infrastructures informatiques ou les capteurs et actionneurs, et permettent des extorsions par ransomware, des fuites de données, du cryptomining, des attaques DDOS ou des sabotages.
Parallèlement, des mots de passe peu sûrs, voire inexistants, et des ports ouverts constituent les principales portes d’entrée dans les systèmes IoT, et une part considérable des logiciels malveillants utilisés dans ce domaine se basent sur des malwares connus depuis longtemps, tels que Mirai [2].
De même, les routeurs Internet et les caméras restent les principales cibles des attaques depuis des années. Pourtant, ces objets sont toujours en grande partie ou complètement livrés sans mesures ni instructions en matière de sécurité renforcée. La récente annonce de l’entreprise Dreamlab, qui a identifié plus de 100'000 routeurs suisses non sécurisés, n’en est qu’un exemple [3].
Cette manière paradoxale de procéder avec l’IoT a également été mise en évidence par une enquête du Rogers Cybersecure Catalyst Fellowship Program de l’Université métropolitaine de Toronto. Les experts en sécurité informatique étaient d’accord avec les utilisateurs ordinaires: l’IoT n’est pas sûr et le restera probablement, mais il est tout de même utilisé, y compris à titre personnel, dans les domaines les plus sensibles [4].
L’état de sous-développement de la cybersécurité de l’IoT contraste fortement avec le niveau de développement de l’IoT. Aux générations de routeurs, d’imprimantes et de caméras s’ajoutent des appareils smart home tout comme des essaims de RoboBees, ou abeilles artificielles (figure de titre). L’utilisation de l’intelligence artificielle sur les dispositifs IoT et l’adéquation des méthodes de cryptage pour l’ère naissante de l’informatique quantique constituent déjà des critères dans les processus d’achat.
L’état contradictoire de la cybersécurité de l’IoT
Le succès des technologies numériques à tous les niveaux de la société a chamboulé des classifications qui étaient claires auparavant. Peu d’utilisateurs en sont conscients. Ceci est pratique pour les cyberattaquants de toutes sortes: avec la diffusion étendue et non réglementée des dispositifs IoT, une énorme surface d’attaque est disponible, exploitée en grande partie par des utilisateurs qui ne se doutent de rien. Et les utilisateurs qui souhaitent améliorer la protection de leurs appareils, ou même simplement l’évaluer, sont confrontés à une tâche difficile. Souvent, les fournisseurs ne connaissent eux-mêmes pas en détail toutes les informations pertinentes telles que les flux de données ou les accès à distance. De plus, l’absence de normes rend l’évaluation difficile: à quel point un produit est-il sûr en comparaison d’un autre? Est-il suffisamment sûr? Quelle est la définition exacte de la sécurité, et cette définition doit-elle être la même pour différents usages?
Pour les fabricants IoT, une sécurité accrue représente un dilemme. Tant qu’elle n’est ni vérifiable ni comparable pour les clients en raison de l’absence de normes spécifiques, il n’en résulte qu’un produit plus compliqué à utiliser, avec des coûts éventuellement plus élevés. Du point de vue de la concurrence, sans réglementation contraignante et uniforme, les fournisseurs ne sont guère incités à rendre leurs appareils plus sûrs.
La législation s’occupe de plus en plus de cette thématique. Diverses lois, normes et directives sont désormais entrées en vigueur ou sont en cours de consultation. L’une des lois les plus ambitieuses est le Cyber Resilience Act de l’UE, attendu cette année, qui couvre aussi bien les appareils IT classiques que les dispositifs IoT et OT. Avec une période de transition de trois ans, cette loi modifiera considérablement le marché de l’IoT et mettra les fabricants et les fournisseurs face à leurs responsabilités. En Suisse, la nouvelle loi sur la sécurité de l’information (LSI) se concentre d’abord sur les institutions fédérales et les infrastructures critiques. Les implications des exigences relatives à la protection des données pour les systèmes IoT, comme avec la loi sur la protection des données (LPD) totalement révisée, entrée en vigueur en Suisse en 2023 sans période de transition, sont souvent négligées. Or, ce sont justement les dispositifs IoT, avec leur flux de données souvent globalisé, leur faible niveau de sécurité et leur visibilité fréquemment réduite dans le réseau, qui nécessitent une attention particulière à cet égard. Toutes les parties concernées ne sont pas toujours pleinement conscientes de la technologie utilisée.
Des définitions différentes compliquent la standardisation
À l’échelle globale, les approches de solutions légales varient considérablement. Rien que la définition des dispositifs réglementés va de descriptions de composants très détaillées dans des cas d’application étroitement définis, à des exigences indépendantes de la technologie pour les actions autour des informations. Ainsi, selon les deux définitions de la figure ci-contre, un compteur intelligent serait un dispositif IoT. Un ordinateur portable répondrait à la définition générale, un smartphone aux deux – certaines directives en matière de cybersécurité de l’IoT excluent toutefois explicitement ces appareils, bien que les smartphones, au moins, soient à la fois des appareils informatiques classiques et des dispositifs IoT du fait de leurs capteurs et de leur système d’exploitation.
Alors que l’approche détaillée présente l’avantage d’être vérifiable, elle limite en même temps la portée des normes de sécurité et n’est guère efficace. Dans l’autre approche, le manque d’acuité rend difficile la vérifiabilité, mais aussi les instructions de mise en œuvre. Les exploitants sont confrontés à un manque de clarté et au risque de devoir éventuellement s’y résoudre. En cas de dommage, la question est alors de savoir comment évaluer un niveau de sécurité non défini ou techniquement irréalisable – suffit-il que tous les appareils disposent du même faible niveau de sécurité? Les systèmes peu sûrs doivent-ils être retirés de l’exploitation et, si tel est le cas, selon quels critères? C’est là qu’apparaît le défi consistant à initier à temps le dialogue entre les réalités du législatif, de la recherche et de la pratique.
Dans l’ensemble, la cybersécurité de l’IoT se développe de plus en plus en tant que facteur économique, concurrentiel et géographique. Pour les entrepreneurs, autant les questions relatives à la responsabilité qu’au maintien de la compétitivité et à la fiabilité opérationnelle du site deviennent pertinentes face à l’augmentation des cyberattaques. Pour les fabricants de produits IoT, il semble que la sécurité soit de plus en plus demandée au niveau international.
Actuellement, on part du principe qu’un système IoT n’est vraisemblablement pas sûr et qu’il est probable qu’il soit déjà, ou bientôt, piraté. Bien que les défis de la cybersécurité spécifique à l’IoT soient encore considérables, les derniers développements montrent que la sécurité de l’IoT arrive lentement à maturité. Il s’agit donc de mettre rapidement en œuvre les tâches en matière de sécurité, de suivre attentivement les développements actuels, qui sont très dynamiques, et d’être préparé à l’éventualité d’une panne des dispositifs IoT. Selon le dicton bien connu: «Mieux vaut prévenir que guérir».
Références
[1] Sarah Wiedemar, Center for Security Studies (CSS), ETH Zürich, Nato and Article 5 in Cyberspace, CSS Analyses in Security Policy, mai 2023.
[2] M. Freunek, A. Rombos, «Classification of cyber attacks on IoT and ubiquitous computing devices», arXiv, décembre 2023.
[3] Dreamlab, «Swiss Cyberspace: 100’000 Unprotected Routers Exposed Online». 16 février 2024.
[4] M. Freunek, «The Internet of Things exposes us all to the biggest cyber threats», Toronto Star, 20 mars 2023.
Commentaire