Transformation in die Cloud - welche Cloud darf es sein?
Perspective Internet of Things

Sécurité de l’IdO: « Le marché a échoué »

23 janv. 2017

« L’époque de l’insouciance est terminée », a annoncé Bruce Schneier au Telekom Security Congress de Francfort en Novembre 2016. L’expert américain en sécurité informatique et en cryptographie est directeur technique chez IBM Resilient. Dans son bestseller intitulé Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World (Données contre Goliath, une bataille secrète pour collecter vos données et contrôler votre monde), le chercheur en sécurité décrit la manière dont les États et les entreprises du secteur internet nous espionnent. Dans notre entretien, ce spécialiste âgé de 53 ans évoque l’importance primordiale de la sécurité pour l’Internet des Objets, un marché faillible et le besoin de régulation étatique.

M. Schneier, vous nous avez à l’occasion du Telekom Security Congress
averti des dangers liés à une connectivité illimitée dans l’Internet des Objets. Pourquoi être aussi pessimiste?

"Les cyber-attaques ne représentent plus un risque uniquement pour les données, elles peuvent également mettre en péril la vie des gens", explique l'expert en sécurité informatique Bruce Schneier.
Nous sommes en train de créer un monde dans lequel tout est connecté. Cette connectivité dans l’Internet des Objets atteindra bientôt son sommet. Il faut pour comprendre l’ampleur du phénomène imaginer un robot de la taille de la Terre. Nous ne sommes cependant pas pleinement conscients des conséquences.

Quelles sont les conséquences auxquelles il faut s’attendre?

Avec Internet, l’humanité a créé la machine la plus complexe ayant jamais existé. Jusqu’ici, seules les données risquaient d’être la proie de cyberattaques. Mais la connectivité à travers l’Internet des Objets, avec par exemple la communication entre machines (M2M), rend le système particulièrement volatil; la sécurité est en effet sérieusement négligée. À travers l’intégration des capteurs et actionneurs, les conséquences potentielles sont maintenant bien plus sérieuses. Les cyberattaques ne mettent plus seulement les données en danger mais aussi les vies humaines.

Quels sont à votre avis les plus grands problèmes en matière de sécurité de l’IdO?

Les grandes entreprises telles que Microsoft, Google ou Apple emploient des experts en sécurité de l’IdO pour assurer autant que faire se peut la sécurité des smartphones. Ceci dit, lorsque vous achetez une webcam pour surveiller un nouveau-né, un réfrigérateur ou un thermostat, aucun expert en sécurité informatique n’est engagé dans le processus. Un autre problème est posé par le fait que ces appareils sont moins souvent remplacés. Tandis que de nombreux usagers achèteront un nouveau smartphone dès après deux ans, la majorité n’achètera qu’un nouveau réfrigérateur au bout de cinq ans ou plus. De plus, de nombreux appareils ne proposent même pas d’option d’actualisation.

Beaucoup de gens continuent encore cependant à acheter des produits peu sûrs de ce type.

C’est vrai, car aucun client ne pense à la sécurité de l’IdO. Lorsqu’ils procèdent à un achat, les clients pensent à des facteurs très divers. Combien coûte l’appareil et quelles sont les options qu’il offre ? Au bout du compte, le client ne cherche pas à savoir si l’appareil fait ou non partie d’un réseau de machines ; il ne sera de toute façon pas directement affecté. Tant que l’appareil fonctionne, le client est satisfait, tout comme le fabricant. Aucun des deux ne se soucie des aspects de sécurité de l’IdO. Lorsqu’il est question de sécurité de l’IdO, le marché a donc échoué.

Comment résoudre le problème?

Lorsque le marché échoue, quelqu’un d’autre doit intervenir. À l’avenir, nous aurons besoin du rôle régulateur de l’état et pas seulement de politiques intentées par les entreprises. D’une manière générale, l’État intervient lorsqu’une menace se fait jour. Internet a été épargné par de telles règles. L’époque de l’insouciance est terminée. Les appareils connectés doivent passer par un processus de certification ! C’est déjà le cas avec les produits potentiellement dangereux tels que les automobiles ou appareils médicaux.

Des règles nationales de sécurité de l’IdO seraient-elles utiles ou vaut-il mieux que l’on adopte des règles internationales?

Je crois que les règles nationales peuvent être efficaces à l’échelle mondiale. Si une loi votée aux USA a par exemple stipulé des standards de sécurité pour les routeurs achetés aux États-Unis, les fabricants en provenance d’autres pays auraient à faire en sorte que leurs produits soient aux normes en question pour pouvoir vendre sur le marché américain.

Les régulations imposées par l’état suffisent-elles?

Non. La panacée n’existe pas. Des cyberattaques se produiront toujours à l’avenir, et il faut s’y résigner. Un système aussi complexe que l’Internet des Objets ne peut être totalement sûr. Un pirate informatique efficace, entraîné et suffisamment soutenu financièrement trouvera toujours la faille. N’espérons pas que les auteurs d’attaques comme les attaques DDoS Mirai botnet DdoS seront arrêtés. Une fois que l’on a accepté que les appareils connectés ne pourront jamais être complètement sûrs, on peut au moins réduire le problème de manière significative.