Il est rédigé pour répandre une sainte frousse, le rapport Hacking Robots Before Skynet rédigé par Cesar Cerrudo et Lucas Apas. La Tweetosphère toute entière s’est soudainement couverte de Robby et de Benders devenus fous, et les allusions aux trois lois de la robotique se multipliaient comme affaires judiciaires durant une campagne électorale.
Il faut reconnaître que les deux chercheurs d’IOActive ont imaginé les pires des scenarii : distributeurs de denrées ou de boisson cherchant à empoisonner leurs usagers, animaux domestiques torturés par de petits automates passés du côté obscur de la force, appareils électroménagers voulant à tous prix électrocuter le cuisinier… voilà qui rappelle les portes à péage et les cafetières agressives des romans de Philip K. Dick. Pour Cerrudo et Apas, ce n’est pas là un roman de SF. Plusieurs modèles de robots fabriqués par SoftBank Robotics, Utech, Robotis, Universal Robots, Rething Robotics et Asratec présentent des défauts exploitables pouvant se solder au mieux par un simple disfonctionnement, au pire par une prise de contrôle à distance ou un détournement de son usage premier. Les mêmes causes produisant les mêmes effets, l’on croirait lire un rapport d’analyse vieux de 15 ou 20 ans, énumérant les problèmes rencontrés dans les routeurs WiFi ou équipements IoT divers : problèmes d’authentification, communications non sécurisées, faiblesses dans les niveaux de sécurité (équivalent d’un accès «root » sans vérification d’identité renforcée), niveau de chiffrement insuffisant, fuites de données à caractère personnel, configuration par défaut permissives, bibliothèques de fonction ou environnement de programmation intégrant des vulnérabilités connues… rien de franchement nouveau, mais rien de franchement corrigé non plus. Les mêmes erreurs sont commises, par des intégrateurs et industriels favorisant plus le « time to market » que la sécurité des usagers et clients.
Quelles sont les organes les plus vulnérables ? La liste dressée par Cerrudo est kilométrique. Les caméras, les microphones qui, détournés, deviennent des espions discrets. Les accès réseau, également. Mais aussi l’environnement et l’infrastructure étendue propre à chaque robot : les services cloud auxquels il se connecte, les portails facilitant son administration via Internet etc. Passons également sur les risques évidents de piratage des applications et appareils de prise de contrôle à distance (via attaque radio genre « evil twin » ou en infectant le logiciel de télécommande), n’oublions pas non plus les toujours possibles modification de firmware, les attaques en « fuzzing » (les robots utilisent souvent des systèmes d’exploitation communs issus de la sphère open source), sans oublier les « fausses mises à jour » et autres intrusions utilisant des canaux légitimes, voir le viol d’un des nombreux ports de communication. Car un robot, c’est souvent un concentré de gpio… donc de défauts dans cuirasse mi-matérielle, mi-logicielle.
« Tant que ces failles affectent des produits grand public, les risques sont relativement limités », expliquent en substance les deux chercheurs. Mais des robots, plus puissants, plus autonomes encore, on en rencontre dans les environnements industriels, les armées du monde entier travaillent activement sur leur développement, les services hospitaliers les généralisent, le monde des affaires commence à s’y habituer. Les robots sont partout et constituent autant de points de vulnérabilité si l’on ne porte pas dès aujourd’hui une attention particulière à leur sécurisation informatique. Un appel dans la droite ligne du discours du groupe I Am the Cavalry.