Pour des raisons de sécurité, nous devons ralentir l'innovation dans les objets connectés à Internet

C'est le point de vue de l'expert en sécurité Bruce Schneier, qui craint que des vies ne soient perdues dans une cybercatastrophe à moins que les gouvernements n'agissent rapidement. 6 septembre 2018

An Rong Xu





Les gadgets intelligents sont partout. Il y a de fortes chances que vous les ayez sur votre lieu de travail, chez vous et peut-être à votre poignet. Selon une estimation du cabinet d'études Gartner, il y aura plus de 11 milliards d'appareils connectés à Internet (à l'exclusion des smartphones et des ordinateurs) en circulation dans le monde cette année, soit près du double du nombre d'il y a quelques années à peine.

Plusieurs milliards d'autres seront bientôt en ligne. Leur connectivité est ce qui les rend si utiles, mais c'est aussi un cauchemar pour la cybersécurité. Les pirates ont déjà montré qu'ils pouvaient tout compromettre, des voitures connectées aux appareils médicaux, et les avertissements se font de plus en plus entendre que la sécurité est compromise dans la ruée vers la mise sur le marché de produits.

Dans un nouveau livre intitulé Cliquez ici pour tuer tout le monde , Bruce Schneier soutient que les gouvernements doivent intervenir maintenant pour forcer les entreprises développant des gadgets connectés à faire de la sécurité une priorité plutôt qu'une réflexion après coup. L'auteur d'une newsletter influente sur la sécurité et blogue , Schneier est membre du Berkman Klein Center for Internet and Society de l'Université de Harvard et chargé de cours en politique publique à la Harvard Kennedy School. Entre autres rôles, il siège également au conseil d'administration de l'Electronic Frontier Foundation et est directeur de la technologie d'IBM Resilient, qui aide les entreprises à se préparer à faire face aux cybermenaces potentielles.



Schneier a parlé avec Examen de la technologie MIT sur les risques que nous courons dans un monde de plus en plus connecté et sur les politiques qu'il juge nécessaires de toute urgence pour y faire face.

Le titre de votre livre semble volontairement alarmiste. Est-ce juste une tentative de vente de jus?

Cela peut ressembler à la publication d'appâts à clics, mais j'essaie de souligner qu'Internet affecte désormais le monde de manière physique directe, et cela change tout. Il ne s'agit plus de risques pour les données, mais de risques pour la vie et les biens. Et le titre souligne vraiment qu'il y a un danger physique ici, et que les choses sont différentes de ce qu'elles étaient il y a à peine cinq ans.



Comment ce changement change-t-il notre conception de la cybersécurité ?

Nos voitures, nos appareils médicaux, nos appareils électroménagers sont tous maintenant des ordinateurs avec des objets qui y sont attachés. Votre réfrigérateur est un ordinateur qui garde les choses froides, et un four à micro-ondes est un ordinateur qui rend les choses chaudes. Et votre voiture est un ordinateur avec quatre roues et un moteur. Les ordinateurs ne sont plus seulement un écran que nous allumons et regardons, et c'est le grand changement. Ce qui était la sécurité informatique, un domaine à part entière, est désormais tout ce qui concerne la sécurité.

An Rong Xu



Vous avez trouvé un nouveau terme, Internet+, pour résumer ce changement. Mais nous avons déjà l'expression Internet des objets pour le décrire, n'est-ce pas ?

J'ai détesté devoir créer un autre mot à la mode, car il y en a déjà trop. Mais l'internet des objets est trop étroit. Il fait référence aux appareils, thermostats et autres gadgets connectés. Ce n'est qu'une partie de ce dont nous parlons ici. C'est vraiment l'Internet des objets plus les ordinateurs plus les services plus les grandes bases de données en cours de construction plus les sociétés Internet plus nous. Je viens de raccourcir tout cela en Internet+.

Concentrons-nous sur la partie américaine de cette équation. Vous dites dans le livre que nous devenons des cyborgs virtuels. Que veux-tu dire par là?



Nous sommes déjà intimement liés à des appareils comme nos téléphones, que nous regardons plusieurs fois par jour, et les moteurs de recherche, qui sont un peu comme nos cerveaux en ligne. Notre réseau électrique, notre réseau de transport, nos systèmes de communication sont tous sur Internet. S'il s'effondre, la société s'arrête dans une très large mesure, car nous en sommes tellement dépendants à tous les niveaux. Les ordinateurs ne sont pas encore largement intégrés à notre corps, mais ils sont profondément ancrés dans nos vies.

Ne peut-on pas se débrancher un peu pour limiter les risques ?

Cela devient de plus en plus difficile à faire. J'ai essayé d'acheter une voiture qui n'était pas connectée à Internet, et j'ai échoué. Ce n'est pas qu'il n'y avait pas de voitures disponibles comme celle-ci, mais celles de la gamme que je voulais étaient toutes équipées d'une connexion Internet. Même s'il pouvait être désactivé, rien ne garantissait que les pirates ne pourraient pas le réactiver à distance.

Les pirates peuvent également exploiter les failles de sécurité d'un type d'appareil pour en attaquer d'autres, n'est-ce pas ?

Il y a beaucoup d'exemples de cela. Le botnet Mirai a exploité les vulnérabilités des appareils domestiques tels que les DVR et les webcams. Ces choses ont été prises en charge par des pirates et utilisées pour lancer une attaque sur un serveur de nom de domaine, qui a ensuite mis hors ligne un tas de sites Web populaires. Les pirates qui ont attaqué Target sont entrés dans le réseau de paiement du détaillant grâce à une vulnérabilité dans les systèmes informatiques d'un sous-traitant travaillant sur certains de ses magasins.

C'est vrai, mais ces incidents n'ont pas entraîné la mort ou la perte d'un membre, et nous n'avons pas encore vu beaucoup de cas impliquant des dommages physiques potentiels, n'est-ce pas ?

Nous ne l'avons pas fait. La plupart des attaques impliquent toujours des violations des données, de la vie privée et de la confidentialité. Mais nous entrons dans une nouvelle ère. Je suis évidemment inquiet si quelqu'un vole mon dossier médical, mais que se passe-t-il s'il change mon groupe sanguin dans la base de données ? Je ne veux pas que quelqu'un pirate la connexion Bluetooth de ma voiture et écoute mes conversations, mais je ne veux vraiment pas qu'il désactive la direction. Ces attaques contre l'intégrité et la disponibilité des systèmes sont celles dont nous devons vraiment nous inquiéter à l'avenir, car elles affectent directement la vie et les biens.

Il y a eu beaucoup de discussions aux États-Unis cette année sur les cybermenaces contre les infrastructures critiques comme les réseaux électriques et les barrages. À quel point sont-ils sérieux ?

Nous savons qu'au moins deux fois, des pirates informatiques russes ont coupé l'alimentation de parties du réseau ukrainien dans le cadre d'une campagne militaire plus large. Nous savons que des pirates informatiques d'États-nations ont pénétré dans les systèmes de certaines compagnies d'électricité américaines. Ces hacks ont été exploratoires et n'ont pas causé de dommages, mais nous savons qu'il est possible de le faire. S'il y a des hostilités militaires contre les États-Unis, nous devrions nous attendre à ce que ces attaques soient utilisées. Et les États-Unis les utiliseront contre nos adversaires, tout comme nous avons utilisé des cyberattaques pour retarder les programmes nucléaires en Iran et en Corée du Nord.

Quelles implications tout cela a-t-il sur notre approche actuelle de la sécurité informatique, comme la publication de correctifs ou de correctifs pour les failles logicielles ?

Le patching est un moyen de regagner la sécurité. Nous produisons des systèmes qui ne sont pas très bons, puis trouvons des vulnérabilités et les corrigeons. Cela fonctionne très bien avec votre téléphone ou votre ordinateur, car le coût de l'insécurité est relativement faible. Mais est-ce qu'on peut faire ça avec une voiture ? Est-il acceptable de dire soudainement qu'une voiture n'est pas sécurisée, qu'un pirate informatique peut la planter, mais ne vous inquiétez pas car il y aura un correctif la semaine prochaine ? Pouvons-nous faire cela avec un stimulateur cardiaque intégré ? Parce que les ordinateurs affectent désormais le monde de manière directe et physique, nous ne pouvons pas nous permettre d'attendre des correctifs.

Mais nous avons déjà des normes de sécurité très strictes pour les logiciels utilisés dans des domaines cyber-physiques sensibles comme l'aviation, n'est-ce pas ?

C'est vrai, mais c'est très cher. Ces normes sont là parce qu'il existe déjà une réglementation gouvernementale stricte dans ce secteur et dans quelques autres secteurs. Dans les biens de consommation, vous n'avez pas ce niveau de sûreté et de sécurité, et cela va devoir changer. Le marché actuel ne récompense pas du tout les logiciels sécurisés ici. Tant que vous, en tant qu'entreprise, ne gagnerez pas de parts de marché supplémentaires en étant plus sûr, vous n'allez pas passer beaucoup de temps sur la question

Alors, que devons-nous faire pour rendre l'ère Internet+ plus sûre ?

Il n'y a pas d'industrie qui améliore la sûreté ou la sécurité sans que les gouvernements l'obligent à le faire. Encore et encore, les entreprises lésinent sur la sécurité jusqu'à ce qu'elles soient obligées de la prendre au sérieux. Nous avons besoin que le gouvernement intervienne ici avec une combinaison de mesures destinées aux entreprises développant des appareils connectés à Internet. Ils comprennent des normes flexibles, des règles rigides et des lois strictes sur la responsabilité dont les sanctions sont suffisamment importantes pour nuire gravement aux bénéfices d'une entreprise.

Mais des choses comme les lois sur la responsabilité stricte n'auront-elles pas un effet dissuasif sur l'innovation ?

Oui, ils freineront l'innovation, mais c'est ce dont nous avons besoin en ce moment ! Le fait est que l'innovation dans le monde Internet+ peut vous tuer. Nous freinons l'innovation dans des domaines tels que le développement de médicaments, la conception d'avions et les centrales nucléaires, car le coût d'une erreur est trop élevé. Nous avons dépassé le point où nous devons discuter de la réglementation par rapport à l'absence de réglementation pour les objets connectés ; nous devons discuter de la réglementation intelligente par rapport à la réglementation stupide.

Il y a une tension fondamentale ici, n'est-ce pas? Les gouvernements aiment également exploiter les vulnérabilités pour l'espionnage, l'application de la loi et d'autres activités.

Les gouvernements sont certainement des braconniers ainsi que des gardes-chasse. Je pense que nous finirons par résoudre cette tension de longue date entre l'attaque et la défense, mais ce sera long et difficile pour y arriver.

Votre livre se concentre en grande partie sur les États-Unis. Pensez-vous qu'il va prendre les devants ici?

Je me concentre sur les États-Unis parce que c'est là que se trouvent les principales entreprises de technologie et que c'est le régime que je connais le mieux, mais je parle aussi un peu de l'Europe. L'Union européenne est actuellement la superpuissance réglementaire sur cette planète. Je pense que cela va avancer plus loin et plus vite que les États-Unis. Aux États-Unis, je regarde davantage les États, et plus particulièrement le Massachusetts, New York et la Californie.

Je pense également qu'il y aura des traités et des normes internationales qui mettront certaines de nos infrastructures connectées hors de portée des cyberattaques des États-nations, du moins en temps de paix. Nous avons un besoin urgent d'action à tous les niveaux maintenant, du local à l'international. Ma plus grande crainte est qu'il y ait une cybercatastrophe, et que les gouvernements se précipitent tête baissée pour mettre en place des mesures, sans beaucoup de réflexion, qui ne résoudront pas le problème.

cacher