L'Usine Digitale - Quelles sont les menaces qui pèseront à l'avenir sur l'Internet des objets ?

Raj Samani - Cela fait des années que nous voyons des piratages dans l’Internet des objets. Avec les distributeurs automatiques de billets par exemple. Les criminels les attaquent déjà depuis longtemps par des canaux auxiliaires (en exploitant des failles dans l’implémentation des mesures de sécurité, et pas dans les mesures elles-même), en compromettant l’intégrité matérielle des distributeurs. Autre exemple, nous sommes partenaires de tous les principaux vendeurs de solutions de point de vente.

Des centaines de millions de numéros de cartes de crédit ont été volées à partir de points de vente ces dernières années, avec le malware BlackPOS [ndr: au cœur des affaires Target et Home Depot]. Et pourtant nous avions identifié ce malware un an avant que l’attaque ne se produise. Donc en vérité les menaces sont déjà là.

Gary J. Davis - C’est une problématique présente dans tous les marchés verticaux. Y compris les smartphones, dont on oublie souvent qu’ils sont l’un des éléments clés de l’Internet des objets. La plupart des consommateurs ne perçoivent pas le smartphone comme la plate-forme informatique riche et complexe qu’elle est. Nous avons vu une augmentation incroyable du nombre de malwares sur mobiles, c'est pour ça que nous sommes présents par défaut sur les Galaxy S6 et S7. Les vulnérabilités sont présentes à tous les niveaux, même dans l’OS. On l’a vu avec Stagefright l’année dernière.

En quoi la 5G est-elle un nouveau défi en matière de sécurité ?

R. S. - Dans le temps, l’analogique était assez sécurisé, pas vrai ? Et la 2G aussi. Et la 3G, la 4... Le défi est toujours le même : savoir si nous avons les bonnes briques à la base pour garantir la sécurité. La 5G créera un statut d'hyperconnectivité, et le défi sera d'intégrer de la confiance au cœur de ces appareils. Cela veut dire faire du "security by design", pour surveiller et gérer les menaces en permanence et en temps réel. La sécurité est un processus, pas une fonctionnalité.

G. D. - La sécurité n’est jamais absolue. Il nous faut travailler encore et encore pour toujours garder un coup d’avance. Et c’est un écosystème, qui combine de la recherche de vulnérabilités, des partenariats entre différents acteurs, de la standardisation, du développement produit… Il n’y a pas de solution miracle. On protège une situation à un moment précis, mais les criminels trouveront toujours le moyen de contourner les mesures de sécurité. C’est en évolution permanente.

Que pensez-vous de la recrudescence de cyber-attaques contre les infrastructures critiques ?

R. S. - Nous sommes très attentifs à ces situations. Nous sommes entre autres conseillers en sécurité sur l’un des plus gros déploiements smart city au monde, qui sera annoncé le mois prochain. Nous sommes aussi présent dans l’automobile, secteur dans lequel il y a de plus en plus de vulnérabilités. Nous avons publié l'année dernière des travaux démontrant qu'on peut passer outre le contrôle des freins dans les voitures, par exemple.

Le problème, c'est que la barrière en matière de connaissances technologiques nécessaires pour pirater un système de contrôle industriel (ICS) est en train de disparaître. Nous avons par exemple découvert par le passé la preuve que des criminels vendaient l’accès à un générateur hydroélectrique en France. Ils le faisaient sur le marché noir, en ligne, comme on l’a vu faire il y a 15 ans pour les cartes de crédit.

Faudra-t-il encore de nouveaux scandales pour qu'il y ait une prise de conscience du public ?

R. S. - Cela peut créer des opportunités pour la prise de conscience du public, mais il ne faut pas être alarmiste. Beaucoup de nos concurrents utilisent volontiers la peur pour vendre leurs produits, mais ce n’est pas notre approche chez Intel. Par exemple, dans le cas de la panne électrique en Ukraine, nous n’avons rien publié pendant un mois. Nous ne nous sommes pas lancés dans des spéculations ou autre, nous avons collaboré avec la victime, analysé le malware, et publié nos résultats. Cela nous semble être le comportement responsable à avoir. L’attribution des attaques à tel ou tel acteur me pose toujours problème notamment, car il est difficile de vraiment savoir d’où elles proviennent. Il n’est pas dur de trouver des criminels prêts à vendre leurs services au plus offrant.

Et du côté grand public ?

G. D. - HP a publié une étude l’année dernière sur les dix appareils les plus utilisés dans la smart home, et leur a trouvé 25 vulnérabilités chacun. C’est déjà difficile de faire en sorte que les consommateurs mettent à jour leurs smartphones... Un tiers des utilisateurs n’y a même pas de code PIN ! Il faut qu'il y ait une prise de conscience, mais ce sera un combat de longue haleine. Après, tout dépend du contexte. J’ai moi-même accès à toute ma vie sur mon smartphone. J’ai un Nest, je peux contrôler ma voiture, j’ai tout mes comptes en banque… Il faut évaluer le risque. Car quoi qu’il arrive, toute situation présente un risque. Ce qui compte c’est de bien le jauger.

L'authentification biométrique (par empreintes digitales, reconnaissance faciale...) ne serait-elle pas la solution ?

G. D. - Ca en fait partie, mais je pense que l’authentification multi-facteurs est la véritable solution. Nécessiter que le smartphone soit connecté à une montre, avec en plus une identification biométrique, un code PIN, du geofencing (restriction à une zone géographique)... Quand on combine tout ces éléments, il devient beaucoup plus difficile de compromettre un appareil. L’analyse comportementale et le machine learning auront également un rôle plus important à jouer dans les années à venir.

Et le chiffrement ? Faut-il juste tout chiffrer ?

G. D. - Ce n'est que mon opinion personnelle, mais je dirai oui.

R. S. - Cela dépend... De l’usage, du contexte, de l’impact qu'aurait la perte des données concernées, de la puissance de calcul nécessaire au chiffrement. Il faut un équilibre entre sécurité et simplicité d’usage. Par exemple je ne chiffre pas mes photos, car je veux pouvoir y accéder facilement, et il faudrait malgré tout beaucoup d’efforts à quelqu’un pour s’en emparer, alors qu’elles n’ont pratiquement aucune valeur pour un attaquant. Par contre, mes données bancaires sont intégralement chiffrées.

Au final, n'est-ce pas simplement une question d'éducation ou de formation des utilisateurs ?

R. S. - Je pense que dire cela serait une réponse simpliste. Il n’y a pas qu’un seul levier, qu'une seule réponse, c’est une somme de différentes choses. En vérité je ne pense pas que les gens se fichent de la sécurité ou de la protection de leur vie privée. Mais ils ne lisent pas les conditions générales d’utilisation (CGU) des produits qu’ils utilisent, ni ne comprennent précisément ce que font ces produits.

En fait, nous vivons dans une société dans laquelle les gens n’attribuent presque aucune valeur à leurs données personnelles. Ils se disent "si c’est digital, ça ne vaut rien". Mais pourtant, si je vole votre dossier de crédit, cela peut impacter vos prêts immobiliers ; si je pirate votre compte Twitter et poste des propos racistes, cela peut vous rendre indésirable sur le marché du travail... C'est triste à dire mais les gens se déclarent déjà en faillite de données personnelles avant même que le ce marché n'ait vraiment démarré.