Les rétrospectives sur la crise financière de 2008 qui font florès évoquent les racines du prochain cataclysme économique qui se préparerait déjà. La politique d'endettement à tout crin, qui a permis à la croissance de reprendre, est largement citée mais on évoque aussi les risques technologiques sans trop préciser duquel il s'agit.

Il y a un scénario pourtant assez limpide qui se dessine : un black-out d'Internet (que le film Bade Runner II) évoque d'ailleurs, pas celui que nous connaissons mais celui, plus global, qui résultera de l'avènement de l'Internet des objets. Aujourd'hui, Internet a les frontières du monde virtuel. Il ne commande pas encore le monde physique qui nous entoure. Demain, ce sera le cas et s'il commande mal ce monde réel, l'impact va plus loin que nos finances ou notre vie privée. La manière dont les vulnérabilités sont gérées aujourd'hui sur Internet, si elle n'évolue pas d'ici à ce que tout ce qui nous entoure soit connecté, c'est le black-out garanti, des industries qui s'arrêtent, la confiance dans le digital qui s'éteint. On rappelle à juste titre que ce qui a déclenché la crise bancaire, ce fut le soudain manque de confiance des banques entre elles et dans le système financier. Ici on parle de confiance du monde entier dans un autre système, Internet, dont il dépendra complètement.

Gruyères sécuritaires

Les objets connectés à Internet sont de véritables gruyères sécuritaires. On excuse cet état de fait par la faible puissance de calcul, les capacités limitées de stockage de ces objets, rendues nécessaires par l'autonomie des batteries de ces objets qui doivent vivre leur vie indépendamment de nous. La réalité est plus prosaïque : les développeurs ne pensent à la sécurité, quand ils y pensent, qu'en fin de design car il n'y a aucun incitant économique pour qu'il en soit autrement : comment, en rayon, faire la différence, si cela nous intéresse, entre un fitbit « sécurisé » et son concurrent, moins cher, qui ne l'est pas ?

Pourtant les attaques les plus spectaculaires sur Internet ont bien été le fait de caméras chinoises qui ont pu, indirectement, rendre inaccessibles des grands sites américains. L'Internet des objets a ici - c'est une chance - simplement servi de levier d'attaque contre l'Internet « classique ». Avec l'Internet des objets, nous allons non seulement dépendre d'Internet pour notre manière de vivre, mais notre vie elle-même va en dépendre. Le réveil sera alors pénible. Car, pour l'instant, les attaques sur Internet ne concernent pas notre intégrité physique. Il s'agit de vol de données, de violation de notre vie privée, au pire, c'est un dommage financier. Internet ne tue pas encore. Les alertes, pourtant, ne manquent pas. On sait déjà qu'une voiture connectée peut être hackée et tuer. On sait que des pirates peuvent prendre le contrôle d'un pacemaker. Des centrales électriques ukrainiennes ont été mises à l'arrêt par des hackers russes. Si on n'aime pas l'idée qu'un hacker puisse prendre le contrôle du Bluetooth dans la voiture, on n'arrive pas encore à imaginer qu'il puisse bloquer le volant.

Trois types de dommages

Pourtant, l'un implique l'autre. Il y a trois types de dommages résultant d'une cyber attaque : la perte de confidentialité, la perte de l'intégrité, la perte de disponibilité. Appliqué à l'Internet d'aujourd'hui, il s'agit de la perte de confidentialité, de l'intégrité ou de la disponibilité de l'information uniquement. On n'en meurt pas ! Appliqué à l'internet des objets, il en va tout autrement : la perte d'intégrité, dans ce monde, c'est, par définition, subir des dommages, des blessures ou la mort.

Pourtant certaines industries critiques ont introduit les logiciels en leur sein : les avions sont plus sûrs avec des logiciels de conduite. Dans ces industries, santé, nucléaire, aviation, l'impact d'un cyberincident est systémique. Leurs standards pourraient s'étendre à l'internet des objets, sauf que cela rendrait ces derniers hors de prix. Et proposer un objet plus sécurisé ne rapporte pas plus de part de marchés. Ce qu'on ne réalise pas, c'est que demain, le coût d'un incident sur l'Internet des objets sera tout aussi systémique s'il vient à bloquer notre société.

La manière de faire aujourd'hui pour corriger les vulnérabilités informatiques n'est pas transposable à l'internet des objets. Sur un PC, un laptop ou un smartphone, une fois la vulnérabilité découverte d'abord, annoncée ensuite, il suffit d'attendre le correctif qui en général s'installe automatiquement. Mais prendriez-vous une telle attitude si l'on vous annonce que votre voiture connectée contient une vulnérabilité qui permet sa prise de contrôle à distance ? Attendriez-vous le patch tout en prenant le volant ? La manière même dont on remédie aux trous de sécurité dans Internet aujourd'hui est complètement à revoir pour l'internet des objets. Des initiatives sont en cours mais elles n'intéressent que peu: elles se basent par exemple sur le même principe que la mise à jour à distance des cartes SIM (ce qu'on appelle la technique OTA, over the air).

Alors que les rétrospectives sur la crise de 2008 encensent le surplus de régulation qui a suivi, c'est bien de régulation qu'il faudrait parler pour l'Internet des objets : sans incitant économique, le salut ne peut venir que des gouvernements qui imposeraient aux fabricants des normes de sécurité. L'Europe, après le GDPR où elle a innové, se trouvera-t-elle à nouveau une vocation de chevalier blanc ?

Pour en savoir plus : Click Here to Kill Everybody: Security and Survival in a Hyper-connected World Bruce Schneier W. W. Norton (2018)