Comme nous le confirmait en novembre 2017 le colonel Henry Billaudel, chef du département « Opérations » de la direction Sûreté du groupe Total, à l’occasion d’un petit-déjeuner organisé par le club Sûreté de l’Ecole de Guerre Economique :
« La sûreté se définit comme l’ensemble des mesures à mettre en œuvre pour protéger les personnes, les biens et l’information contre tout acte de malveillance ».
Il nous reste désormais, pour comprendre le sujet de cet article, à définir le terme « Smart City ». Celui-ci est un phénomène mondial et terme « à la mode » de ces dix dernières années, trouvant vraisemblablement son origine en Asie, à travers des villes pionnières comme Singapour et Hong Kong, ou plus récemment en Europe, avec Amsterdam ou Barcelone. Le Groupe spécialisé de l'UIT–T sur les « Smart Cities » (« villes intelligentes et durables » en français), a forgé cette nouvelle expression en se fondant sur l'analyse d'une centaine de définitions différentes. Lors de sa cinquième réunion tenue à Gênes, en Italie, les 19 et 20 juin 2014, le Groupe spécialisé sur les « villes intelligentes et durables » s'est mis d'accord sur la définition ci-après :
« Une ville intelligente et durable est une ville novatrice qui utilise les nouvelles technologies de l'information et de la communication, et d'autres moyens, pour améliorer la qualité de vie, l'efficacité de la gestion urbaine et de ses services, ainsi que la compétitivité, tout en respectant les besoins des générations actuelles et futures dans les domaines économique, social et de l'environnement. »
Dans 99% des débats portant sur les « Smart Cities », la notion de sûreté est reléguée à des considérations techniques, quand elle n’est pas absente voire simplement non-considérée par la communauté. De même qu’un département IT d’une entreprise ne doit pas gérer seul la sûreté de la société, les ingénieurs et techniciens des communes ou régions ne doivent pas être les seuls concernés par la sécurisation des données échangées au sein d’un écosystème dit de « Smart City ».
L’étude ForeScout qui a été dirigée par le hacker éthique Samy Kamkar, connu pour ses travaux de recherche et ses « inventions » liées à l’IdO (« internet des Objets »), a généré le rapport « IoT Risk Report Enterprise », lequel analyse les risques des appareils connectés à Internet (« IoT » en anglais, soit « Internet of Things »). Ce rapport souligne le danger potentiel que l’IoT représente pour la sécurité des entreprises et, de fait, celle des « Smart Cities ». En effet, ces dernières, afin d’échanger efficacement les données cruciales à la coordination automatique de leurs services, sont équipées par de nombreux objets connectés, qu’il s’agisse de systèmes connectés de sécurité (par exemple, les caméras dites « CCTV »), de compteurs électriques (comme le fameux compteur « Linky » en France), de systèmes de visioconférence, de valves d’arrêt des réseaux de gaz et d’eau, de différents panneaux de signalisation automatisés ou encore d’imprimantes connectées dans les services administratifs. L’étude a révélé que la plupart d’entre eux n’ont pas été fabriqués avec un système de sécurité intégré efficace. Certains fabricants ont bien prévu un niveau de sécurité intégré à leurs appareils, mais il est alors si « rudimentaire » qu’il prend moins de trois minutes à être contourné.
Or, de même que l’efficacité réelle d’un ordinateur ne dépend pas de la seule rapidité de calcul de son micro-processeur mais bien de celle de son plus faible composant, le niveau de sureté de l’écosystème global interconnecté dit « Smart City » est directement corrélé à celui de son plus faible maillon.
Les failles de sécurité des objets connectés, si nombreux dans nos « Smart Cities », remettent donc sérieusement en question la fiabilité de ces dernières.
Ainsi a-t-on appris dernièrement que l’agence de régulation allemande des télécoms « Bundesnetzagentur », après avoir proscrit la poupée connectée « CAYLA », n’a pas hésité à interdire cette fois les montres connectées pour enfants en novembre 2017, soulignant le risque provenant de leur faible niveau de sécurisation en plus de leur équipement composé d’un micro et d’un GPS. Dès lors, on peut aisément comprendre que des individus mal intentionnés auraient ainsi pu géolocaliser facilement les enfants équipés de ces « smartwatches » (avec les terribles conséquences que l’on peut imaginer).
En outre, le Bureau européen des unions de consommateurs, Norwegian Consumer Council, a également publié, fin 2017, les résultats d'une étude selon laquelle certaines montres connectées pour enfants fournissaient des informations non-cryptées directement à des serveurs localisés en Chine.
En juin 2017, F-Secure soulignait les failles de sécurité flagrantes des caméras IP non-sécurisées made in China, telles que « OptiCam i5 HD » et « Foscam C2 », lesquelles étaient particulièrement vulnérables aux cyber-menaces. Elles pouvaient, en outre, contribuer à diffuser des attaques DDoS (capables de faire s’écrouler un serveur en très peu de temps, comme en témoigne la tristement célèbre attaque du « botnet » MIRAÏ, en octobre 2017) ou à d’autres activités malveillantes (faire des attaques XSS, générer des dépassements de tampon, forcer les mots-de-passe, réaliser des injections de commandes à distance, obtenir l’accès au menu principal et ainsi prendre le contrôle de l’appareil et l’utiliser comme pivot de son réseau, etc.).
« Ces failles permettent aux hackers de faire plus ou moins tout ce qu’ils désirent », explique Harry Sintonen, Senior Security Consultant chez F-Secure qui a lui-même découvert ces vulnérabilités. « Ces failles sont très sérieuses. Un pirate peut les exploiter une par une ou toutes à la fois, pour disposer de droits d’accès supplémentaires concernant l’appareil ou le réseau auquel il est connecté ».
Le 3 janvier 2018, dernier scandale planétaire en date pour les géants de l’informatique, le magazine britannique, The Register, a précisé que des failles de sécurité importantes avaient été découvertes dans les microprocesseurs des entreprises Intel, AMD et ARM, fabriqués depuis plus de dix ans, touchant ainsi presque la totalité des ordinateurs dans le monde. Les entreprises concernées ont dû rapidement gérer cette crise en proposant des correctifs et des mises à jour. Mais il s’est avéré, au final, que les vulnérabilités concernées étaient quasi-irréparables.
« La cyber-sécurité est souvent ignorée au moment de la conception de tout objet électronique », explicite Harry Sintonen. « La principale préoccupation des développeurs est de concevoir des produits rapidement, pour les mettre sur le marché le plus vite possible. De nombreux principes de sécurité sont ainsi « mis de côté », exposant les utilisateurs et leurs réseaux à de sérieux dangers sur le long terme ».
Les objets connectés sont à la fois une bénédiction, puisqu’ils permettent de créer un nouvel environnement d’hyper-connectivité entraînant performances et réduction des coûts, et à la fois une malédiction, puisqu’ils créent une situation de type « shadow IT » où les entreprises ne savent même plus quels appareils sécuriser. Or, si vous ignorez l’existence de quelque chose, vous ne pouvez pas le protéger. Cette situation peut se résumer par la loi « d’Hypponen » : « si un objet est dit intelligent, c’est qu’il est vulnérable ».
Pour conclure, tant que l’on ne considérera pas la sûreté des « Smart Cities » dans son ensemble, maillon par maillon, réseaux privés et publics, objet connecté par objet connecté, il y a fort à craindre, malheureusement, que nous continuerons à assister à des attaques malveillantes toutes plus spectaculaires les unes que les autres.
Club Sûreté (Jérôme Janin)