24.10.19

Les villes intelligentes doivent être cyber-intelligentes



Alors que les villes se tournent vers l’IoT pour résoudre des problèmes existants, quels sont les risques si la cybersécurité est laissée à la phase de planification ?

Le terme “Smart cities”, les villes intelligentes, c’est l’idée qu’une utilisation intensive des technologies de l’information et de la communication (TIC) pour surveiller l’énergie, les services publics et l’infrastructure de transport peut réduire les coûts, l’impact sur l’environnement et résoudre plus rapidement des pannes.

Les avantages sont évidents. Si une ampoule d’éclairage public tombe en panne et peut le faire savoir, on peut la remplacer plus rapidement. Si on peut contrôler le trafic plus efficacement, on réduit la pollution et le bruit ainsi que la durée des trajets. Si on peut régler le chauffage de manière très précise, on peut réduire la consommation d’énergie et le gaspillage. Si on peut suivre le trafic en temps réel, on peut planifier les meilleures routes pour les véhicules de secours.

La plupart des gouvernements nationaux ont signé l’Accord de Paris et se sont engagés à atteindre des objectifs de réduction d’émissions de carbone.  Ces objectifs ont ensuite été transmis aux niveaux régionaux et municipaux. La mise en œuvre des technologies intelligentes en milieu urbain joue un rôle important dans la réalisation de ces objectifs. Mais là où il y a des réseaux complexes de milliers de capteurs et d'appareils IoT interconnectés et contrôlés par ordinateur, toutes sortes de sonnettes d'alarme ont retenti dans l'esprit des praticiens de la cybersécurité.

Des chercheurs d’ESET ont analysé des malwares qui ont probablement été utilisé dans plusieurs attaques contre l’industrie de l'énergie et qui a finalement causé des pannes de courant. Ce genre de perturbations a des effets majeurs sur la vie des gens car l’énergie fournie de manière intermittente et peu fiable finit rapidement par causer des problèmes. Les aliments et les médicaments se décomposent rapidement lorsque la réfrigération et les congélateurs ne fonctionnent plus. Les hôpitaux doivent limiter leur consommation d’énergie a l’essentiel. Ni les pompes à carburant, ni les stations de charge ne peuvent fonctionner, les feux de circulation sont hors service, les bâtiments sont en surchauffe ou trop rafraichis. L’éclairage urbain ne fonctionne pas. Les systèmes de paiements électroniques ne fonctionnent pas non plus, les salaires ne sont probablement pas payés, les distributeurs automatiques ne donnent plus de billets. On ne peut recharger ni son téléphone ni son laptop. La pompe à insuline ne fonctionne pas et le dispositif de respiration artificiel non plus. Il en va de même pour les systèmes de surveillance à distance, les caméras de sécurité et la machine à café. Dans de telles circonstances le chaos s’en suit rapidement.

On peut aussi imaginer des attaques plus subtiles que des pannes totales d’électricité. Il y a eu deux cas majeurs d’utilisation de malware pour extraction illicite de crypto-monnaie sur des systèmes de contrôle compromis dans des centrales nucléaires. L’extraction de crypto-monnaie demande énormément d’énergie et a un lourd impact sur l’environnement en plus des coûts et de la possibilité de causer des problèmes de distribution d'énergie comme décrits ci-dessus. Il n’y a donc pas que les entreprises qui sont affectées par ces attaques. Dans la plupart des cas, les appareils IoT ne sont pas bien sécurisés et leurs vulnérabilités peuvent résulter en attaques où les utilisateurs ont peu de possibilités de prendre des mesures pour les limiter.

L’an dernier, une opération à grande échelle a été découverte. Elle utilisait des routeurs internet domestiques pour exploiter de la crypto-monnaie. Là où il y a de l’argent facile – en raison de la vulnérabilité des systèmes – il y aura de l’exploitation criminelle.

Les compteurs intelligents sont une aubaine tant pour les services publics que pour les consommateurs et les entreprises car ils permettent de contrôler la consommation. Toutefois, leur compromission peut entrainer le vol d’énergie, de gaz ou d’eau. Mais de tels compteurs peuvent aussi indiquer combien de courant est introduit dans le réseau (panneaux solaires), le reste du réseau dépendant alors de cette précision pour équilibrer la charge et la production. Et comme c’est souvent le cas lors de défaillances au niveau sécurité, ce sont les événements imprévus qui peuvent avoir les conséquences les plus dévastatrices.             

Parmi d’autres projets centrés IoT, l’Union Européenne a été très active dans l’implémentation des technologies de villes intelligentes, mis en place sous l'égide de son programme de recherche et d'innovation appelé Horizon 2020. La portée de ces projets varie, mais beaucoup ont de vastes implications dans les secteurs concernés – villes et société intelligentes, agriculture, soins de santé, gestion de l’eau et des océans, alimentation, production et de nombreux autres aspects de la vie.

Parmi ces projets, certains sont régis par des missions de conseils qui guident et conseillent sur l’implémentation des divers projets. (Pour information : un chercheur d’ESET était parmi les 550 postulants pour la mission concernant la neutralité climatique et les villes intelligentes mais n’a pas obtenu de siège – il y en avait 15.) Ces missions de conseil se composent de membres actifs dans diverses disciplines et il faut espérer que la cybersécurité sera au centre de leurs préoccupations même si elle n’est que mentionnée sporadiquement lors des séances d’information pour les conseillers.
Quand tout sera dit et fait, il y aura des avantages énormes liés à la mise en œuvre de technologies qui peuvent améliorer des vies et réduire l’impact sur l’environnement. D’autre part, il ne faut jamais sous-estimer les risques si la sécurité de ces technologies n’est pas prise en charge. 

Pour plus d’information sur l’offre de sécurité d’ESET et l’e-book gratuit, rendez-vous sur https://www.eset.com/be-fr/professionnels/data-protection-ebook/