L’Internet des objets, le meilleur ennemi de la sécurité

par Hervé Thiard, Directeur général de Pictet AM

La montée en puissance de l’Internet des objets va obliger les entreprises et les particuliers à trouver de nouveaux moyens de se protéger: une aubaine pour les investisseurs.

Construit au IIe siècle de notre ère en Angleterre, le mur d’Hadrien avait pour vocation de protéger la frontière nord de l’Empire romain. S’étendant d’est en ouest sur une centaine de kilomètres, bordé de tours d’observation et autres forts, il permettait de protéger la population des ennemis de Rome.

Même si les dispositifs physiques représentent aujourd’hui encore une part non négligeable de l’arsenal sécuritaire public, garantir la sécurité des hommes et des femmes du XXIe siècle veut aussi dire repousser les envahisseurs numériques.

Du fait de la montée en puissance de l’Internet des objets, c’est-à-dire un ensemble d’objets connectés grâce à des capteurs et au cloud, il suffit en effet aujourd’hui de pirater un seul appareil vulnérable (interphone pour bébé, Barbie équipée du wifi ou frigo intelligent) pour s’immiscer dans des infrastructures de plus grande envergure, par exemple le réseau de distribution d’électricité ou des centrales nucléaires.

Pourtant, comme le soulignaient récemment les experts du comité consultatif de Pictet Security lors d’une réunion, les principes fondateurs des systèmes de sécurité n’ont pas changé depuis l’Antiquité. En d’autres termes, les murs empêchant les assaillants d’entrer ne sont d’aucune utilité une fois la défense vaincue.

Selon nos conseillers, l’ère de l’Internet des objets va contraindre Etats, entreprises et particuliers à jeter au feu leurs manuels de sécurité et à inventer de nouveaux moyens de se protéger. Une aubaine pour les investisseurs. En effet, les entreprises qui développent les systèmes de sécurité informatique renforcée dont la société a besoin semblent promises à une croissance remarquable. D’après certaines estimations, le secteur mondial de la sécurité pourrait même valoir 500 milliards de dollars d’ici 2050.

Gare au PICNIC

La vulnérabilité du monde aux attaques numériques a été mise en lumière le 26 octobre 2016, date à laquelle Mirai, un logiciel malveillant, a paralysé des sites Internet célèbres (Amazon, la BBC, le gouvernement suédois et bien d’autres) lors d’une cyberattaque des plus audacieuses.

Rejeton d’une nouvelle famille de virus, Mirai prend le contrôle d’objets connectés à Internet mal sécurisés en parcourant le web pour y dénicher les identifiants par défaut et les mots de passe d’usine. Ensuite, il transforme le dispositif infecté en une armée de «botnets» capables d’attaquer le réseau tous azimuts.

Mirai a de nouveau frappé un mois plus tard, infestant les routeurs de l’opérateur allemand Deutsche Telekom et coupant l’accès Internet de près d’un million de personnes.

Pas besoin de chercher très loin pour comprendre comment des virus tels que Mirai prospèrent dans les systèmes de sécurité basés sur des mots de passe: deux tiers des utilisateurs ne modifient pas le leur régulièrement, tandis que «motdepasse» et «123456» ont été les codes secrets les plus utilisés ces cinq dernières années1.

Nos conseillers ont donné un nom à ce phénomène: PICNIC (Problem In Chair Not In Computer, «le problème vient de la chaise, pas de l’ordinateur»). En d’autres termes, inutile de blâmer le matériel informatique ou les logiciels, car c’est l’utilisateur humain assis derrière l’écran qui est en cause.

Pourtant, faire fi de la cybersécurité peut coûter cher. En 2015, les logiciels malveillants ont rapporté 24 millions de dollars aux cybercriminels et ont causé 325 millions de dollars de dommages indirects, notamment en désinfection des ordinateurs et restauration de données, selon le cabinet d’audit PwC.

Riposter de l’intérieur

Cela étant, des faits d’armes tels que ceux de Mirai ont eu le mérite d’attirer l’attention du public. Les particuliers vont peut-être enfin penser à changer de mots de passe et les Etats à envisager de nouvelles règles pour protéger leurs réseaux, par exemple en rendant les entreprises juridiquement responsables des pertes de données ou en criminalisant le codage malveillant.

Pourtant, s’il est essentiel de prévenir ces attaques, cela ne constitue pas une solution à long terme. Selon nos conseillers, il serait peut-être temps d’admettre que, de même qu’il est n’est pas possible d’empêcher un virus d’infecter les êtres humains, il est impossible d’empêcher un logiciel malveillant d’infester un réseau.

Au lieu de bâtir des murs, poursuivent-ils, les dirigeants pourraient combattre ces virus de l’intérieur, en développant un système immunitaire efficace qui empêcherait, ralentirait ou anéantirait les activités malveillantes.

C’est exactement ce que fait Darktrace, start-up britannique spécialisée dans la cybersécurité: elle propose des anticorps numériques. Fondée par des responsables du renseignement (GCHQ, MI5 et NSA), elle fournit aux appareils intelligents des dispositifs d’exploration de données de grande ampleur pour leur permettre d’enrayer les cybermenaces sans intervention humaine.

Grâce à ces dispositifs, les services de police peuvent également analyser et anticiper les comportements anormaux pour prévenir les attaques.

Résilience plutôt qu’inviolabilité

Le nombre de personnes connectées à Internet va augmenter dans les prochaines années, ce qui signifie que la convergence des menaces numériques et physiques ne fera qu’accélérer. Aujourd’hui, près de la moitié de la population mondiale utilise Internet, ce qui représente environ 3,6 milliards d’individus2. En 2020, ce chiffre devrait atteindre les 5 milliards.

Et les humains ne seront pas les seuls à accéder au web: de plus en plus de «choses» le seront. Le nombre d’objets interconnectés pourrait atteindre les 30 milliards d’ici 2020, contre 13 milliards à l’heure actuelle, tandis que le marché de l’Internet des objets devrait doubler d’ici la fin de la décennie, à 3700 milliards de dollars3.

Alors que les Etats se démènent pour élaborer un cadre juridique international pour faire face à cette croissance, un certain nombre d’entreprises s’engagent dans la lutte contre les cybermenaces.

Deux sociétés américaines, Fortinet et Symantec, proposent des technologies de sécurité informatique telles que le «sandboxing» (ou principe du bac à sable), mécanisme utilisé pour tester les programmes non approuvés émanant de tiers non vérifiés. Associées aux systèmes biométriques, ces technologies permettront de réduire les activités criminelles en ligne en détectant les anomalies et en proposant des dispositifs d’alerte avancés.

De son côté, la société suédoise ASSA Abloy se spécialise dans la technologie de contrôle d’accès de pointe. Elle produit par exemple des clés Bluetooth avec droits d’accès temporaires et des registres d’accès en temps réels, mais aussi des logiciels d’entrée installés sur les smartphones des collaborateurs des entreprises.

De nombreuses sociétés de sécurité informatique semblent bien placées pour profiter de l’augmentation des dépenses en technologies de protection contre la cybercriminalité. Le cabinet Gartner estime que, d’ici à la fin de la décennie, les coûts générés par les failles de sécurité actuelles de l’Internet des objets progresseront pour représenter l’équivalent de 20% des budgets annuels de sécurité, contre moins de 1% en 2015. Pour ceux qui investiront dans ce secteur en pleine mutation, les opportunités devraient donc abonder.

NOTES

  1. Symantec; SplashData issus de plus de deux millions de mots de passe dérobés
  2. Internet World Stats
  3. PwC/IDC, RBC-Gartner