Très doucement, depuis des mois, les acteurs indépendants et souverains de la cyber sécurité annoncent timidement le déclin de la sûreté des sociétés en raison de l’invasion des IoT domestiques et professionnels dans la vie courante.
Ces derniers sont annoncés comme étant dénués de toutes notions de sûreté et de sécurité numérique.Le premier responsable est le législateur bien averti, quel qu'il soit, et d'autre part les organisations internationales qui définissent les standards internationaux et qui n'arrivent pas à se mettre d'accord sur un minimum de normes. La Security by Design, le Fuzzing, le pentest sont de jolis mots qui ne sont entendus que par les 250 premiers industriels mondiaux, respectivement leader sur leur marché. Cela va d'Apple en passant par Samsung ou Lockheed Martin... ils sont peut-être aussi leader parce qu'ils font de la Security by Design depuis des années ainsi que du fuzzing industriel à très haut niveau.
Une montre connectée à 100 millions de dollars
Une récente étude a voulu démontrer les effets de bord provoqués par une montre connectée, fabriquée par l'un des leaders de l'horlogerie suisse, qui n'a pas été pensée dans une démarche de Security by Design. L'horloger pense fabriquer pour quelques milliers de dollars un petit bijou de technologie, mais qui va en réalité lui en coûter des millions.
Cette montre est développée sur le système d'exploitation Android destinée à être vendue sur le marché américain, à un citoyen américain, qui plus est californien, et qui roule en Tesla, symbole de la voiture connectée. Cette montre peut coûter 100 millions de dollars, car une cyber attaque pourrait utiliser la montre pour pénétrer le système de la voiture et prendre ainsi le contrôle du véhicule. Le programme malveillant va ainsi diriger la voiture contre un arbre et le conducteur y perdra la vie. Quelque temps plus tard - dans ce pays le plus procédurier du monde -, l'assurance et les héritiers vont chercher un responsable, tiers pour réclamer des indemnités. Cette note peut coûter 100 millions de dollars, car c'est ce que coûte une victime en Californie, décédée par un objet commun transformé en arme par destination.
Comment l'horlogerie suisse peut-elle anticiper un tel effet de bord ? Ce fleuron de l'industrie fabrique des montres, pas de la sûreté informatique. Il ne connaît pas la cyber sécurité et heureusement, sans quoi ses montres ne seraient pas aussi fantastiques et reconnues comme parmi les meilleures du monde. Cela vaut pour les fabricants d'électroménagers, de machines agricoles, de SCADA industriels destinés à la fabrication de médicaments, de solutions chimiques... C'est sans fin.
Quels risques cache réellement l'IoT ?
Alors, quid de cette histoire imaginée et pourtant pas très compliquée à reproduire ? Il faut entendre que chaque objet connecté produit dans le monde rentre dans une chaîne corollaire qui peut provoquer à son niveau un chaos irréversible et terrible. Là où les armes sont en vente libre, c'est là où il y a le plus de tués par arme à feu. Là où les IoT agiront sur des équipements sensibles, même un four et sa fonction de pyrolyse, c'est là où on introduit le risque dans le coeur de la société civile, le foyer du consommateur, l'économie des services et l'industrie dans ce qu'elle a de plus pérenne, sérieux, solide et fondamental. Ce ne sont pas les petits exemples qui manquent dans la presse quotidienne pour relever une anecdote d'une peluche qui parle aux enfants de façon détournée ou d'un service vocal qui commande toutes les poupées disponibles chez Amazon... sans qu'il y ait eu un clic.
On en rigole et c'est presque mignon. On rigole moins quand on commence à prévenir qu'il faudra un mort dans la société civile pour que le législateur réagisse. G. Poupard, Directeur général de l'ANSSI en France, le rappelait très bien au FIC (Forum International de la Cybersécurité) : "si on ne siffle pas la fin de la récré maintenant, on ne va pas rigoler demain".
Appelons les organismes de normalisation et le législateur européen à agir
Il est temps d'éveiller les acteurs du droit pour imposer un minimum de sûreté numérique dans les IoT, grand public ou industriel, avant que le drame arrive. Dans la continuité de la GDPR (General Data Protection Regulation) qui est la première loi européenne qui défend enfin l'identité digitale du citoyen. C'est une question de vie ou de mort, c'est une question de temps et c'est une question de "cyber décision".
En attendant, les industriels ont des outils à leurs dispositions pour consolider leurs innovations et démontrer la démarche de "Best Effort" vis-à-vis des autorités et des juges quand il faudra prouver que la montre ne contient pas un vice de forme supposé connu. Cela s'appelle de la Security By Design pour l'innovation et le fuzzing pour le reste. Cependant, on attend toujours des normes, malgré un lobbying d'opposition, car une norme impose des investissements et surtout des contraintes. Celles-ci pourraient devenir des freins à l'innovation, et engendrer des coûts industriels qui remettraient en cause le bien-fondé de l'IoT. Comme quoi, tout a un prix.