Argumentaires

Accueil » Nouvelles technologies » A distance, piloter un avion ou surveiller sa maison ?

A distance, piloter un avion ou surveiller sa maison ?

La catastrophe récente de l’Airbus A320 sur la montagne des Alpes du Sud a conduit à s’interroger sur la validité des mesures de sécurité en usage et à leur possible amélioration. Parmi les hypothèses discutées celle de prendre le contrôle de l’avion à distance en cas de besoin.

L’avion, objet connecté.

D’un point de vue technique le pilotage à distance d’un objet volant est réalisable. C’est notamment le cas pour les drones. En 2011 une expérience a été réalisée pour piloter un drone à 4800 km de distance avec un iPhone ! Et il ne s’agissait pas de bidouilleurs du dimanche : « des ingénieurs de Boeing et des chercheurs du Massachusetts Institute of Technology ont mis au point une application et un système qui permettent de contrôler un mini-drone à plus de 4500 kilomètres de distance« . Selon Gérard Feldzer, consultant en aéronautique et en transport, interrogé par Challenges.fr « techniquement on saurait mettre en place un système de « remote control » mais il y aurait certainement une résistance des pilotes désireux de garder la maîtrise de leur avion« .

Sécuriser les transmissions de données

Mais surtout les spécialistes pointent les problèmes liés à la sécurisation des données échangées entre l’avion et le contrôle au sol. Cela ne manquerait pas de susciter des vocations de piratage pour prendre le contrôle de l’avion ou parasiter les transmissions. Il existe aussi un problème psychologique pour les passagers : accepteraient-ils facilement de prendre un avion sans pilote à bord ? On évoquera bien sûr le contre exemple du métro automatique de Lille (plus important réseau automatique du monde) en service depuis plus de 30 ans sans aucun incident et parfaitement accepté, mais faire dévier de sa trajectoire un véhicule qui circule sur des rails est une autre affaire que pour un avion…

Actuellement de nombreuses installations industrielles présentent un risque majeur face à des attaques  malveillantes éventuelles. Ce type de risque est pris très au sérieux. En 2008 un adolescent polonais a provoqué un accident de tramway en faisant dérailler un véhicule grâce à une télécommande qu’il s’était lui-même fabriqué, selon le quotidien britannique The Telegraph. Pour protéger les grandes entreprises françaises, l’ANSSI a publié en 2012 un guide sur la cybersécurité des systèmes industriels et un cas pratique illustrant les menaces qui planent sur les systèmes des entreprises. En effet la plupart des équipements industriels sont pilotés par automates programmables. Le risque est d’autant plus fort que ces équipements industriels ont une durée de vie longue, sont de conception souvent ancienne ne prenant pas en compte les aspects sécurité et qu’il n’est pas envisageable de les remplacer rapidement pour des raisons économiques évidentes. Toutefois les  propriétaires de ces équipements ont généralement les moyens financiers de faire face, à court ou moyen terme.

Existe-t-il un marché pour des objets connectés domestiques sécurisés ?

Mais qu’en est-il des objets connectés à usage domestique ? Ces objets concernent la gestion de la maison, depuis le réfrigérateur jusqu’à l’aspirateur en passant par la serrure, la commande du thermostat et des volets roulants sans oublier les lumières, les caméras… Il s’agit aussi des capteurs en tout genre, podomètre mais aussi compteur électrique dit intelligent et bien sûr, pour plus tard, la voiture sans chauffeur.

On nous promet de 20 à 30 milliards d’objets connectés à l’horizon 2020. Or tous ont en commun deux problèmes : d’une part leurs données sont susceptibles de ne pas rester confidentielles, d’autre part chaque objet est un point d’entrée possible pour une attaque malveillante, d’autant plus malveillante si l’objet s’insère dans un réseau domestique (de type smartphone + maison intelligente). Certains se diront : assurer la sécurité d’un avion on comprend que cela soit une priorité mais quel est le risque avec un bracelet qui permet au coureur à pied de mesurer les kilomètres parcourus ou le nombre de foulées réalisées et de suivre son itinéraire avec un GPS ? Un coureur géolocalisé par son bracelet c’est d’abord quelqu’un qui n’est pas chez lui ce qui représente une information capitale pour un potentiel cyber cambrioleur qui ne manquera pas de s’attaquer aux autres points d’intrusion possibles que constituent les objets connectés utilisés par le coureur à pied. Prendre le contrôle d’un objet connecté c’est s’ouvrir la possibilité d’entrer dans le réseau domestique où il s’inscrit.

Or la grande différence avec la sécurisation des équipements électroniques de l’avion réside dans le faible coût des objets connectés à usage domestique. Connecter un appareil domestique constitue un avantage marketing, lié souvent à l’effet de mode. Mais y ajouter les dispositifs pour assurer la sécurité du réseau informatique domestique dans lequel il s’inscrit reviendrait à augmenter son prix de façon dissuasive pour l’acheteur. En l’état actuel de la technologie, cette situation apparaît sans issue. “Plus ces objets deviennent grand public, plus il y aura d’opportunités pour les cybercriminels”. On ne peut que constater que la course aux innovations se fait au détriment des problématiques de sécurité. Il faudrait notamment que les questions de sécurité soient prises en compte dès la conception, ce qui est loin d’être le cas. Selon le mot de J-F Beuze, on continue de « mettre les dollars avant les bœufs ». Ainsi Bercy veut accélérer l’utilisation de la carte de paiement sans contact. Pour le gouvernement, il s’agit surtout de valoriser l’écosystème de paiement sans contact mis sur pied par les acteurs français, alors que les géants américains comme Apple se mettent en mouvement. Pourtant la sécurité de ce dispositif est loin d’être avérée et de sérieuses précautions restent à prendre.

Mon domicile vaut bien un Airbus.

Ainsi au royaume des entités connectés on trouve des seigneurs comme les avions et les installations industrielles qui sont parfois des chaînes de télévision. Un consensus s’établit pour dire qu’ils doivent bénéficier d’une sécurité maximum et qu’il faut faire les efforts financiers nécessaires parce qu’ils concernent l’usage général et sont en relation avec les intérêts économiques et stratégiques des pays concernés.

Mais il y a aussi la valetaille des petits objets connectés de faibles valeurs qui concernent souvent l’usage des particuliers. L’objet connecté qui attire le plus les français serait la voiture. Ces objets connectés représentent un marché considérable. Le cabinet Xerfi a réalisé une étude sur ce marché et a identifié comme freins à son développement la sécurité des données, le piratage et l’intrusion dans la vie privée. En clair, les usagers accorderont leur confiance quand ils percevront que ces objets offrent un niveau de sécurité comparable, toutes proportions gardées, à celui d’un avion. Ou bien ignorant de ces choses là ils les adopteront les yeux fermés jusqu’au jour où, victimes d’un piratage, ils découvriront que tout n’était pas si rose dans le meilleur des mondes qu’on leur avait vendu. Se faire dérober son smartphone deviendra bien plus grave que perdre son trousseau de clés sur lequel l’adresse serait indiquée.

C’est pourquoi il n’y a que deux champs d’actions possibles. D’abord démystifier l’idée que le tout numérique ne peut être qu’un univers radieux dénué de risques. Ensuite faire prendre conscience de la nature de ces risques et former, sensibiliser les utilisateurs à un usage raisonné et vigilant. Car dans la chaîne de la sécurité l’homme est le maillon faible dans la plupart des cas. 8 incidents informatiques sur 10 seraient dus au facteur humain selon une étude publiée en 2014.  Les premiers éléments de l’enquête sur le cas de TV5 Monde, qui est loin d’être terminée, mettent en évidence un certain nombre de failles dans le domaine des comportements selon cet article de CNnet Cyberattaque contre TV5 Monde, ou le b.a.-ba du hacker débutant pour qui « le vrai problème réside plutôt dans la crédulité des salariés, qui se sont laissés abuser par de faux e-mails, dans l’utilisation d’un matériel obsolète ou d’un système d’exploitation (OS) non mis à jour, et dans la très probable non-segmentation des réseaux – le réseau “interne”, bureautique, étant relié à celui utilisé pour diffuser les programmes de la chaîne de télévision« . Rêver d’une maisons connectée au smartphone et à tous les bracelets électroniques possibles sans se former à leur usage sécurisé c’est sombrer dans le syndrome TV5Monde.
Cet article de la CNIL « Maîtrisez les réglages « vie privée » de votre smartphone » peut constituer un premier point d’entrée pour ne plus rêver.

Publicités
%d blogueurs aiment cette page :