Deux avis d’experts, deux visions différentes de l’IoT. Schneier vs Herberger.
Carl Herberger, VP of Security Solutions chez Radware ( via le HNS), donne une vision comptable de la question. 20 milliards de périphériques à l’horizon 2020, ça fait combien d’attaques Dyn potentielles ? Et de nous promettre de nouvelles menaces et un accroissement des attaques en déni de service. La parade ? L’apparition de nouvelles mesures de sécurité, allant de l’identification aux automatismes en passant par de nouvelles règlementations. Tout cela semble bel et bon… reste que la toute dernière phrase de l’article casse un peu le côté visionnaire. « Only the organizations taking proactive, holistic steps to improve their security posture will see the true promise of the IoT without the disruptions and disasters of this next wave of attacks ». La richesse xyloglotte d’ycelle (proactive, holistic, posture, disruption, disaster…) rappelle un peu trop de vieilles railleries potaches des années 2000.
Bruce Schneier, pour sa part, se concentre sur un point et un seul. Il ne peut y avoir d’autres issues au problème de l’insécurité de l’IoT que par la loi. Sans contrainte légale, entendons par là risque d’amendes et encadrement strict des règles de base en matière de sécurité IT, il ne pourra y avoir de véritable développement sain de l’internet des objets. Et d’expliquer en substance « l’IoT couvre déjà , et couvrira de plus en plus des secteurs jusqu’à présent épargnés par toute forme d’informatique communicante. Et il est quasi certain que personne, jamais, n’envisagera d’intégrer des mécanismes de mise à jour pas plus que les usagers ne chercheront à appliquer lesdites mises à jour. D’ailleurs, pour quelle raison un fabricant s’inquièterait d’une telle mise à niveau ou de l’existence d’une faille découverte sur un produit déjà remplacé par un objet de la génération N+1 ? Cette attitude consumériste n’est pas compatible avec une véritable prise de conscience en faveur de la sécurité. Pour forcer ces fabricants à respecter les règles « infosec » les plus élémentaires, une seule solution : The Regulation ».
Et Schneier d’étayer son raisonnement : « Ce à quoi l’on rétorquera que la Chine, usine high-tech de l’occident, n’instaurera probablement pas la moindre contrainte à ses entreprises nationales. Peu importe, car ce seront les entreprises Chinoises elles-mêmes qui feront tout pour se mettre en conformité et ainsi avoir le droit d’exporter vers les USA ».
Seulement Schneier ne propose comme seul « exemple ayant fonctionné » que la création du DHS au lendemain de l’attaque du 11 Septembre. Et passe sous silence la très relative efficacité des autres efforts normatifs ou législatifs dans le domaine de l’industrie numérique. Si SarbOx ou Iso 27xx avaient forgé un bouclier efficace contre les malversations, plus aucune nouvelle affaire FriendFinder, pas le moindre hack de montre Fitbit ne ferait les grands titres des médias. Si les règlementations CEM Européennes ou les obligations de la Cnil provoquaient l’ombre d’une crainte, jamais l’on ne pourrait acheter des transmetteurs Ethernet-CPL « made in Shanghai » sauce Open Bar dans une grande surface de bricolage Française. Si le quart des conseils de l’Anssi avait valeur de Saintes Ecritures, aucune erreur d’intégration ne serait constatée sur telle automobile, serrure connectée, centrale d’alarme utilisant un « réseau à faible taux d’énergie par bit » et autres objets de l’Internet. PCI-DSS n’est pas en reste si l’on en juge par le nombre d’établissements bancaires piratés (hors des frontières Françaises, cela va sans dire). Bien au contraire, un excès de règlementation donne à celui qui l’applique une sorte de certificat de virginité, un parapluie législatif le protégeant a posteriori des conséquences provoquées par d’inévitables erreurs humaines ou une application des normes a minima.
A cet arsenal de textes, il manque une composante majeure : une véritable implication du politique. Une implication politique qui, de LCEN en Lopsi, Loppsi ou LPM, utiliserait pour l’heure le prétexte du risque numérique plus, semble-t-il, pour imposer un contrôle, presque acquérir un pouvoir. Quid de la protection du citoyen qui devrait être en première ligne et non pas plutôt ressentie comme un effet secondaire ? Une implication politique qui, face à l’IoT, balance entre le laisser-faire sous prétexte de développement économique et le fantasme de pouvoir policier absolu que laisse espérer cette numérisation de l’intime.
1 commentaire