Regardez autour de vous : tout est connecté ! Nous sommes dans l’ère du « smart » à tout prix : nos maisons sont connectées, sous les pavés de nos rues la plage a disparu au profit d’un labyrinthe de fibres optiques, et nos entreprises bourdonnent de flux de données et de moyens de surveillance électronique… La suite avec Matthieu Dierick, expert sécurité senior chez F5 Networks, spécialiste des équipements réseau.
Et ce n’est guère étonnant : les villes elles-mêmes rivalisent d’effort pour soutenir et accélérer l’innovation. C’est à qui aura son incubateur, libérera ses données ou publiera la « killer app » du quotidien pour ses administrés. D’ailleurs, pratiquement chaque aspect de notre vie quotidienne a eu sa micro (ou macro) révolution numérique. Regardez ainsi tous ces consommateurs avisés qui, désormais, ne font plus leurs courses sans scanner le code-barre de chaque produit avec leur smartphone. Bref, partout où l’on regarde il faut être « smart » et connecté. Et ce n’est plus une option, c’est un évangélisme, un mode de vie !
Mais est-ce vraiment une si bonne idée ?
Car en même temps qu’augmente la popularité des villes connectées, la surface d’attaque accessible aux pirates croît proportionnellement. Ne serions-nous pas tout simplement en train de mettre nos données et nos infrastructures publiques face à un risque sans précédent ? Serions-nous sans le savoir les auteurs d’un Conte de deux cités où l’une serait hyperconnectée, prospère, mais très vulnérable, tandis que l’autre, plus sceptique face aux technologies, devrait se contenter d’un développement économique au ralenti ?
Et surtout… que pouvons-nous bien faire pour trouver le bon équilibre entre ces deux extrêmes ?
Une course à l’évolution
L’on ne pourra plus garder la tête dans le sable encore très longtemps. L’accroissement de la population mondiale et la diminution des ressources naturelles vont mathématiquement conduire à une migration sans précédent vers les grands centres urbains de la planète. Et pourtant, devinez quoi ? Leurs infrastructures actuelles sont à des années-lumière de pouvoir faire face à ce défi. Et je ne parle même pas de le faire dans de bonnes conditions…
Les infrastructures actuelles des villes sont à des années-lumière de pouvoir faire face à ce défi. Et je ne parle même pas de le faire dans de bonnes conditions…
L’une des promesses les plus excitantes vendues par ce concept de villes intelligentes est la capacité à régler les problèmes traditionnels grâce à des moyens nouveaux, et en particulier l’analyse fine des données collectées à travers toute la ville. En s’appuyant sur des milliers de capteurs, d’interactions, de comportements, il serait possible d’inventer des solutions qui étaient jusqu’à présent hors de notre portée.
Mieux, il ne s’agit pas seulement de régler des problèmes courants, mais aussi de se développer économiquement. Selon une étude de la société ABI Research, le mouvement vers la « smartification » des villes pourrait révéler un gisement de vingt mille milliards de dollars de bénéfices dans les dix prochaines années à travers le monde.
L’Europe n’est d’ailleurs pas en reste en la matière : le parlement européen prévoit que dès l’an prochain il y aura 300 villes européennes que l’on pourra qualifier de « smart » (parce qu’elles déploient de la technologie pour optimiser leurs réseaux d’énergie, de transport, etc.)
Nous nous dirigeons donc tout droit vers un futur alléchant fait de communautés interconnectées et de services en temps réel qui améliorent concrètement le quotidien de leurs habitants, tout en développant, au passage, massivement l’économie. C’est une vision admirable, non ? Certainement. Mais ce qui me dérange, dans cette vision, c’est que l’on y va à marche forcée. Et en matière de cybersécurité la précipitation n’est jamais une bonne chose.
Ce qui me dérange, dans cette vision, c’est que l’on y va à marche forcée. Et en matière de cybersécurité la précipitation n’est jamais une bonne chose.
Concrètement, bon nombre d’équipements, de systèmes et de technologies sur lesquelles s’appuient les villes connectées d’aujourd’hui sont conçus en faisant l’impasse sur les architectures de sécurité standards ou les solutions connues de mitigation des menaces.
Cette myopie technologique ne peut conduire, à terme, qu’à une explosion du nombre de vulnérabilités. Ce qui pourra conduire alors à des incidents sérieux, dont certains pourront aller jusqu’à mettre en danger des vies humaines. Car un pirate qui a pris à distance le contrôle d’un parcmètre électronique n’est certes qu’une nuisance. Mais un hacker aux commandes de la distribution d’eau potable d’une ville, ou de son alimentation électrique, peut causer de vrais dégâts.
Les leçons passées
Cette année, durant la conférence Black Hat, l’équipe de cybersécurité offensive de la X-Force d’IBM s’est penchée sur un certain nombre de technologies déjà mises en œuvre par les villes connectées. Ils voulaient savoir si des scénarios de type « super méchant de bande dessinée » étaient possibles. Ils n’ont pas été déçus.
Les chercheurs se sont intéressés à seulement quatre équipements populaires, et ils y ont découvert 17 vulnérabilités, dont neuf jugées critiques. Parmi ces équipements, l’un d’entre eux était utilisé par un pays européen pour la détection des radiations. Un autre était utilisé aux États-Unis pour contrôler la circulation. Dans les deux cas, les vulnérabilités découvertes n’étaient pas compliquées : les fabricants de ces équipements avaient « juste » oublié d’implémenter les mesures de sécurité les plus élémentaires.
Pour finir en beauté, les chercheurs d’IBM ont voulu simuler une attaque contre un équipement utilisé à travers le monde pour contrôler le niveau de l’eau dans les barrages hydrauliques. En moins d’une minute, ils auraient pu inonder toute la région. L’attaquant (simulé) avait pris le contrôle de cet équipement très commun parmi les villes intelligentes et, manifestement, aussi les barrages…
Reprendre en main le futur
Les Nations Unies prévoient qu’en 2030 les deux tiers de l’humanité vivront dans des zones urbaines très densément peuplées (autant dire surpeuplées !). Cela provoquera la mise en ligne d’un volume important d’équipements électroniques, en particulier avec l’avènement de la 5G, qui permettra des connexions à très haut débit partout. De quoi réveiller tous les rêves en matière d’objets connectés (IoT).
Il n’y a donc plus de temps à perdre : les chefs d’entreprise, les visionnaires, les développeurs et les fournisseurs de service doivent renforcer leur collaboration avec le régulateur et leurs partenaires pour garantir que la technologie qui est déployée au cœur de nos villes connectées est sûre et fiable. L’industrie high-tech elle-même devrait faire beaucoup plus pour garantir l’adhésion aux principes incontournables de « Security-by-design » (penser à la sécurité dès la conception et non plus une fois le produit fini).
Mieux : la sécurité de bout en bout doit encore être améliorée, afin d’intégrer plus fortement l’authentification des utilisateurs et le respect des politiques de sécurité sur tous les canaux de communication. De leur côté, enfin, les fournisseurs de service doivent renforcer leurs efforts en matière, notamment, de chiffrement respectueux de la vie privée.
Pour conclure, nous avons absolument besoin que les gouvernements, les urbanistes et les grands chefs d’entreprise commencent à percevoir les signaux avant-coureurs du cyber crime, et se décident à associer des experts de la cybersécurité à toutes les étapes de la vie des villes connectées, de leur conception à leur construction, en passant par la gestion de leur infrastructure.
Parce que nous désirons certes tous voir des villes plus « intelligentes ». Mais il nous faut pour cela très vite apprendre à appréhender ces nouvelles menaces et les intégrer dans nos réflexions urbaines, pour garder un temps d’avance sur les cybercriminels.