Alors que les
villes se tournent vers l’IoT pour résoudre des problèmes existants, quels sont
les risques si la cybersécurité est laissée à la phase de planification ?
Le terme “Smart
cities”, les villes intelligentes, c’est l’idée qu’une utilisation intensive
des technologies de l’information et de la communication (TIC) pour surveiller
l’énergie, les services publics et l’infrastructure de transport peut réduire
les coûts, l’impact sur l’environnement et résoudre plus rapidement des pannes.
Les avantages
sont évidents. Si une ampoule d’éclairage public tombe en panne et peut le
faire savoir, on peut la remplacer plus rapidement. Si on peut contrôler le
trafic plus efficacement, on réduit la pollution et le bruit ainsi que la durée
des trajets. Si on peut régler le chauffage de manière très précise, on peut
réduire la consommation d’énergie et le gaspillage. Si on peut suivre le trafic
en temps réel, on peut planifier les meilleures routes pour les véhicules de
secours.
La plupart des
gouvernements nationaux ont signé l’Accord de Paris et se sont engagés à atteindre des objectifs de
réduction d’émissions de carbone. Ces objectifs ont ensuite été transmis
aux niveaux régionaux et municipaux. La mise en œuvre des technologies
intelligentes en milieu urbain joue un rôle important dans la réalisation de
ces objectifs. Mais là où il y a des réseaux complexes de milliers de capteurs
et d'appareils IoT interconnectés et contrôlés par ordinateur, toutes sortes de
sonnettes d'alarme ont retenti dans l'esprit des praticiens de la
cybersécurité.
Des chercheurs
d’ESET ont analysé des malwares qui ont probablement été utilisé dans plusieurs
attaques contre l’industrie de l'énergie et qui a finalement causé des pannes
de courant. Ce genre de perturbations a des effets majeurs sur la vie des gens
car l’énergie fournie de manière intermittente et peu fiable finit rapidement
par causer des problèmes. Les aliments et les médicaments se décomposent
rapidement lorsque la réfrigération et les congélateurs ne fonctionnent plus.
Les hôpitaux doivent limiter leur consommation d’énergie a l’essentiel. Ni les
pompes à carburant, ni les stations de charge ne peuvent fonctionner, les feux
de circulation sont hors service, les bâtiments sont en surchauffe ou trop
rafraichis. L’éclairage urbain ne fonctionne pas. Les systèmes de paiements
électroniques ne fonctionnent pas non plus, les salaires ne sont probablement
pas payés, les distributeurs automatiques ne donnent plus de billets. On ne
peut recharger ni son téléphone ni son laptop. La pompe à insuline ne
fonctionne pas et le dispositif de respiration artificiel non plus. Il en va de
même pour les systèmes de surveillance à distance, les caméras de sécurité et
la machine à café. Dans de telles circonstances le chaos s’en suit rapidement.
On peut aussi
imaginer des attaques plus subtiles que des pannes totales d’électricité. Il y
a eu deux cas majeurs d’utilisation de malware pour extraction illicite de crypto-monnaie sur des systèmes de contrôle compromis
dans des centrales nucléaires. L’extraction de crypto-monnaie demande
énormément d’énergie et a un lourd impact sur l’environnement en plus des coûts
et de la possibilité de causer des problèmes de distribution d'énergie comme
décrits ci-dessus. Il n’y a donc pas que les entreprises qui sont affectées par
ces attaques. Dans la plupart des cas, les appareils IoT ne sont pas bien
sécurisés et leurs vulnérabilités peuvent résulter en attaques où les
utilisateurs ont peu de possibilités de prendre des mesures pour les limiter.
L’an dernier, une
opération à grande échelle a été découverte. Elle utilisait des routeurs
internet domestiques pour exploiter de la crypto-monnaie. Là où il y a de
l’argent facile – en raison de la vulnérabilité des systèmes – il y aura de
l’exploitation criminelle.
Les compteurs
intelligents sont une aubaine tant pour les services publics que pour les
consommateurs et les entreprises car ils permettent de contrôler la
consommation. Toutefois, leur compromission peut entrainer le vol d’énergie, de
gaz ou d’eau. Mais de tels compteurs peuvent aussi indiquer combien de courant
est introduit dans le réseau (panneaux solaires), le reste du réseau dépendant
alors de cette précision pour équilibrer la charge et la production. Et comme
c’est souvent le cas lors de défaillances au niveau sécurité, ce sont les
événements imprévus qui peuvent avoir les conséquences les plus
dévastatrices.
Parmi d’autres
projets centrés IoT, l’Union Européenne a été très active dans l’implémentation
des technologies de villes intelligentes, mis en place sous l'égide de son
programme de recherche et d'innovation appelé Horizon 2020. La portée de ces projets varie, mais beaucoup
ont de vastes implications dans les secteurs concernés – villes et société
intelligentes, agriculture, soins de santé, gestion de l’eau et des océans,
alimentation, production et de nombreux autres aspects de la vie.
Parmi ces
projets, certains sont régis par des missions de conseils qui guident et conseillent
sur l’implémentation des divers projets. (Pour information : un chercheur
d’ESET était parmi les 550 postulants pour la mission concernant la neutralité
climatique et les villes intelligentes mais n’a pas obtenu de siège – il y en avait 15.)
Ces missions de conseil se composent de membres actifs dans diverses
disciplines et il faut espérer que la cybersécurité sera au centre de leurs
préoccupations même si elle n’est que mentionnée sporadiquement lors des
séances d’information pour les conseillers.
Quand tout sera
dit et fait, il y aura des avantages énormes liés à la mise en œuvre de
technologies qui peuvent améliorer des vies et réduire l’impact sur
l’environnement. D’autre part, il ne faut jamais sous-estimer les risques si la
sécurité de ces technologies n’est pas prise en charge.
Pour plus d’information sur l’offre de
sécurité d’ESET et l’e-book gratuit, rendez-vous sur https://www.eset.com/be-fr/professionnels/data-protection-ebook/