Brandan Blevin, de SearchSecurity, dresse une synthèse des différentes interventions ayant pour thème l’Internet des Objets (IoT) lors de la dernière DefCon/BlackHat de Las Vegas. Et la liste est longue : Dan Geer, Charlie Miller et Chris Valasek avec une effrayante prise de contrôle à distance de la colonne de direction d’une voiture en train de rouler et la publication d’une étude sur les surfaces d’attaque des IoT, Billy Rios qui s’est penché sur les appareils de filtrages situés dans les aéroports et qui sont vulnérable à des attaques distantes, Ruben Santamarta qui s’est attaqué aux liaisons satellites chargées des accès Internet dans les vols long courrier, Silvio Cesare, mentionné par nos confrères du HNS et qui s’est passionné pour les vulnérabilités des protocoles radios des IoT, Hewlett Packard dont le récent rapport sur les objets connectés révèle que plus de 70% des appareils IoT sont vulnérables, sans mentionner Josh Corman et sa lettre ouverte intitulée « Voilà la cavalerie ! » demande aux industriels de l’automobile de repenser la sécurité de cette forme d’informatisation « communicante » qui bourgeonne à tout-va.
Ces avertissements ont-ils des chances d’être entendus ? Les vieux routiers de la sécurité estiment que ces appels resteront sans réponse, pour les mêmes raisons que celles qui ont présidé au lancement du « tout web » dans les années 90 n’ont éveillé la moindre velléité d’amélioration. Les espérances de gains à court terme sont plus impérieuses que les préoccupations sécuritaires… d’autant plus que les victimes ne sont pas du côté des vendeurs mais de la clientèle. Caveat Emptor. Du côté des médias, la situation n’est guère plus brillante, car ne sont relatés que les scénarii les plus sensationnalistes, les plus catastrophistes, ceux-là même qui ne résistent pas à une analyse de risque sommaire mais qui font du clic web et du lectorat qualifié. Une hypothétique apocalypse terroriste exploitant la faille obscure d’une interface d’administration, la prise de contrôle d’une centrale nucléaire, d’une usine de traitement d’eau, de l’ordinateur de bord d’un unique modèle de voiture lancée à 200 km/h… Quelle est la probabilité de ces risques au regard des gains que promettra le « gadget de la connectivité et de la modernitude » ? Quasi nulle. Mais économiquement, le dédommagement d’une victime n’est rien en comparaison des bénéfices visés.
Seuls les geeks, les hackers, les spécialistes sécurité possèdent un aperçu réel de la situation d’ensemble… mais ne savent pas franchement l’exprimer. Car le danger réside moins dans l’accident exceptionnel que dans la collecte massive, anodine et quotidienne d’informations et d’habitudes d’usage. Et la mise à jour de cet obscur travail de fourmi des bigdata lovers est moins « vendeur » que le hack d’un système embarqué dans un avion de ligne. En outre, à ce genre d’argument, l’on oppose l’exagération de cette vision Orwellienne de l’Internet des Objets. L’IoT n’est pas Big Brother, car il n’existe aucune décision immanente, aucun plan occulte mondial cherchant à coordonner cette formidable dépendance à l’interconnexion et à ce flicage quasi volontaire. Reste que la chaine alimentaire de l’IoT est comparable à celle de la nature : herbivores, prédateurs, super-prédateurs… il y aura toujours, quelque part, un Google ou un Microsoft, voir un « data broker » moins connu mais tout aussi efficace, qui sera capable de réunir et recouper, puis désanonymiser les messages de l’IoT pour les mieux exploiter. Car c’est moins l’IoT lui-même que l’analyse « big data » des données que cet IoT collecte qui présente un risque pour la société et l’individu. Alors oui, on peut s’inquiéter des failles radio et des très probables exploitations mafieuses ou terroristes dans le secteur de l’Internet des Objets. Mais tout ça reste comparable à la probabilité d’exploitation des défauts de sécurité Wep des premières liaisons Wifi : beaucoup de bruit pour des conséquences rétrospectivement marginales, à une attaque de chaine de magasins près. Le problème de l’IoT se situe en amont de la chaîne d’exploitation et relève plus de l’encadrement législatif et de l’harmonisation des lois internationales. C’est donc plus une question politique que technique.