Cybersécurité

Chérie, j’ai piraté les gosses! ou quand la cybersécurité devient l’affaire de tous

21 janvier 2016

author:

Chérie, j’ai piraté les gosses! ou quand la cybersécurité devient l’affaire de tous

Droits réservés – The Washington Post / Worldcrunch – 11 décembre 2015 – Par Vivek Wadhwa

Voilà une information qui n’est pas de très bon augure à l’approche des fêtes de fin d’année : lors du dernier Black Friday — le 27 novembre dernier — on apprenait qu’un hacker était parvenu à pénétrer les serveurs du fabricant de jouets chinois VTech et à y dérober les données personnelles de près de cinq millions de parents et de plus de 200 000 enfants. Au nombre de ces informations figuraient des adresses postales, noms, dates de naissances, adresses électroniques et mots de passe. Pire encore : des photos et des historiques de conversations entre parents et enfants.

Ce fait d’armes virtuel soulève une question évidente quant à ces fameux “jouets connectés,” dont le nombre ne cesse d’augmenter : combien d’entre eux sont insuffisamment sécurisés ? Et par conséquent combien de millions, voire de centaines de millions, d’enfants sont en danger ?

Le 4 décembre dernier, la société Bluebox Security a apporté un début de réponse, en révélant l’existence de failles de sécurité importantes dans la Hello Barbie, la version connectée de la poupée iconique de Mattel. Et il est tout à fait possible que ce problème concerne la plupart des jouets connectés — et ce pour de multiples raisons.

Premièrement, il ne s’agit ici que des prémisses du piratage de jouets, ce qui signifie que les hackers ont déjà pris de l’avance. Ensuite, l’Internet des objets (appellation désignant les objets de la vie quotidienne connectés entre eux et à Internet) est un univers sans réelle réglementation, et qui ne s’arrête pas aux jouets : toutes sortes d’appareil électroménagers, voitures, ainsi que de nombreux objets, numériques et semi-analogiques, qui jusqu’à présent vivaient hors connexion, sont de la fête.

Si l’Internet des objets est si peu sécurisé, c’est en grande partie parce que les entreprises qui créent ces objets ne se sentent pas obligées d’investir du temps, ou de l’argent, ou de fournir l’effort nécessaire pour protéger leurs produits. L’absence de normes ou de réglementations globales n’arrangent rien. Et pour couronner le tout, rien n’oblige non plus les entreprises à informer les consommateurs en ce qui concerne du type de données qu’elles collectent ou de ce qu’elles font pour sécuriser ces données.

Le rappel aux États-Unis par le groupe Fiat Chrysler Automobiles de 1,4 millions de véhicules en juillet 2015 a démontré l’étendue du problème. L’entreprise, pourtant courant depuis longtemps des failles de sécurité concernant ses écrans tactiles et son système embarqué Uconnect, a pourtant attendu que le magazine Wired et le Washington Post révèlent que ses voitures pouvaient être piratées pendant la conduite pour réagir. Un miracle qu’aucune accident grave n’ait été à déplorer.

Protéger les enfants d’attaques informatiques est un enjeu d’extrême importance. Leur innocence et leur vulnérabilité en font des cibles de choix pour les tentatives d’extorsion virtuelle. Imaginons qu’un pirate informatique réellement malintentionné ait eu accès aux systèmes VTech et qu’il ait réussi à intercepter des échanges ou à prendre des photos par webcam interposée. Ce hacker aurait alors pu alors facilement essayer d’escroquer les parents en menaçant de nuire à leur progéniture. Et beaucoup auraient payé. L’année dernière, la chaîne américaine Fox rapportait qu’un homme avait piraté un écoute-bébé à Cincinnati, dans l’Ohio, et avait hurlé à une fillette de 10 mois : “Réveille-toi bébé!” Naturellement, les parents se sont sentis violés dans leur intimité.

VTech a rapidement reconnu que les mesures de sécurité mises en place n’étaient pas à la hauteur. Mais il faut être s’accorder sur un point : la société n’avait pas vraiment de raison de s’en soucier. Il n’était bien évidemment pas dans ses intentions de nuire à ses clients, mais il se trouve que les lois censées pénaliser les entreprises qui ne protègent pas suffisamment les données de leurs clients manquent cruellement de mordant. Même en Californie, où la loi oblige les sociétés à faire connaître au plus vite les cas de piratage et à informer les clients lorsque leurs données sont dérobées, le nombre d’attaques ne cesse d’augmenter. Le cabinet d’audit et de conseil PwC a montré qu’à l’échelle de la planète, les attaques virtuelles avaient augmenté de 48% entre 2013 et 2014. L’addition pour les entreprises visées s’élève en moyenne à 2,7 millions de dollars.

Il est possible que les frais engendrés par un rappel ne suffisent pas à eux seuls à motiver un changement. Les victimes d’usurpation d’identité en ligne sont rarement dédommagées — un cadeau inespéré pour les entreprises. Les recettes de VTech s’élèvent à 2 millions de dollars ; les objets connectés pour enfants constituent son secteur de croissance le plus important. Il serait peut-être judicieux d’augmenter considérablement les pénalités en cas de défaut de sécurité avéré. Les compagnies d’assurance pourraient se charger du dédommagement, mais de telles mesures devraient également inclure une clause obligatoire de remboursement pour les clients affectés. Ou encore, cet effort pourrait prendre la forme d’un système de contributions, qui verrait l’intégralité des fabricants d’objets connectés mettre de l’argent dans un fonds de compensation. Bien sûr, cette dernière proposition n’est qu’une forme déguisée d’assurance. C’est une idée qui a tout pour déplaire aux entreprises, mais qui aurait le mérite d’enfin les pousser à faire le nécessaire.

Le renforcement des réglementations gouvernementales ne produit que rarement le résultat escompté et tend plutôt à mettre un frein à l’innovation. Mais il serait peut-être prudent d’étendre le programme d’autorisation des équipements de la Commission Fédérale des Communications (FCC). Ce dernier exige que tous les appareils utilisés aux États-Unis soient soumis à des tests de radiofréquence, afin de s’assurer qu’ils fonctionnent parfaitement, sans causer d’interférences nuisibles, et qu’ils répondent à certains critères techniques. Ceux-ci pourraient inclure, entre autres précautions de sécurité, le chiffrement des données. C’est un sujet de toute première importance, étant donné que notre Internet des objets est principalement fabriqué en Chine : ces failles de sécurité pourraient devenir autant de portes ouvertes à un niveau d’espionnage sans précédent, à la maison comme au bureau.

D’autres solutions, résolument radicales, sont possibles. Nous pourrions obliger les entreprises à créer des systèmes dans lesquels les clients seraient autorisés à contrôler leurs propres données. Ils pourraient ainsi se rendre compte exactement de ce qui est collecté et être alertés si ces informations sont dérobées. Les chantres de la protection de la vie privée en rêvent depuis longtemps. Et nous sommes aujourd’hui incroyablement proches d’être en mesure de construire un tel système.

Mes collègues à l’université de droit de Stanford, comme bien d’autres, se sont penchés sur le sujet et sur sa faisabilité. Roland Vogl, qui dirige le Stanford Center for Legal Informatics, imagine un système qui autoriserait les utilisateurs à visualiser et analyser toutes les données structurées, y compris celles générés par leurs appareils connectés. Les utilisateurs connecteraient alors leurs appareils sur un “tableau de bord personnel,” à partir duquel ils pourraient gérer et contrôler leurs données. Ils choisiraient alors quelles données partager et avec quelles entreprises. Selon Vogl, certaines de ces technologies sont déjà mises en pratique, par exemple dans les projets OpenSensors et Wolfram Connected Devices Projects.

Les solution ne manquent pas et sont même à portée de main. Ne manquent que la motivation, la réglementation et la coordination. Sous peine que cette jungle en devenir qu’est l’IoT n’entraîne une augmentation incontrôlable de cauchemars relatifs à notre sécurité. C’est pour cette raison qu’il est préférable de fixer dès à présent de nouvelles normes, et d’assurer à nos enfants, ainsi qu’à nous-mêmes, une sphère virtuelle plus sûre.

Vivek Wadhwa est chercheur au Rock Center for Corporate Governance de l’université de Stanford, directeur de recherche au Center for Entrepreneurship and Research Commercialization à l’université Duke, et éminent chercheur à la Singularity University. Il a également travaillé à l’université de droit de Harvard, l’université de Californie, Berkeley et l’université Emory.

One Comment
  1. Infogérance

    Depuis toujours, la cybersécurité a été l'affaire de tous. Mais, la plupart des utilisateurs n'ont pas encore vraiment conscience de ce fait. Ce n'est que maintenant qu'ils commencent à découvrir l'ampleur du problème car il commence à toucher le quotidien de tous.

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *