Rien
n’est encore en sécurité. Pas même les pompes à perfusion dans les hôpitaux.
Voyez-vous, l’internet
des choses se présente aujourd’hui comme la nouvelle ère qui verra bientôt
toutes les choses connectées entre elles au travers d’internet, depuis votre
thermostat qui mesurera et transmettra tout ce qui se passera dans votre
maison à votre réfrigérateur lui-même connecté à votre liste de courses, qui seront-elles
livrées par une voiture sans chauffeur connectée à internet et équipée d’un
robot qui déposera vos courses chez vous pendant que vous serez au travail.
Pratique ? Oui.
Pour les pirates informatiques.
Que quelqu’un pirate
votre réfrigérateur et en modifie la température pour geler votre lait est
une chose… mais nous avons déjà assisté au piratage et à la prise de contrôle
d’une voiture à distance.
Des chercheurs ont
piraté le système radio en ligne d’une Chrysler Cherokee et passé des
commandes à son moteur, à son volant et à ses freins afin de la conduire
jusque dans un fossé. Cet exploit n’a bien heureusement été publié qu’après
que Chrysler ait pu trouver une solution au problème. La compagnie a dû « rappeler »
1,4 million de véhicules, un rappel qui s’est fait, comme le piratage de l’un
de ses véhicules, par le biais d’internet. Si Chrysler peut modifier les
programmes informatiques de ses voitures par internet, les pirates le peuvent
également.
C’était il y a une
semaine. Aujourd’hui, nous avons appris de la National Highway Traffic Safety
Administration que le fournisseur de Chrysler a également vendu ces systèmes
radio à d’autres constructeurs automobiles. Mark Rosekind, directeur de l’NHTSA,
a expliqué que le problème est désormais de déterminer l’étendue de la
vulnérabilité.
Vous devriez peut-être
arrêter de conduire votre voiture à connexion internet pendant quelques
temps.
Hier encore, des
chercheurs ont démontré (vidéo) comment des pirates pourraient exploiter les
failles de l’application mobile du système de communication intelligent de la
GM OnStar.
Et pour terminer la
semaine en beauté, la Food and Drug Administration nous a annoncé aujourd’hui
que les hôpitaux et autres infrastructures médicales devraient bientôt cesser
d’utiliser les systèmes de perfusion Symbiq, produits par Hospira, des pompes
informatisées qui sont utilisées pour administrer des médicaments dans le
sang, puisqu’elles sont elles-aussi vulnérables aux attaques pirates.
La FDA a annoncé que ces
appareils communiquent avec le système d’information des hôpitaux par le
biais de leur connexion internet sans fil. Ces systèmes d’information sont
eux-aussi en ligne. Ainsi, cette pompe n’est qu’un appareil de plus dans le
réseau de l’internet des choses.
Pour reprendre les
termes employés par la FDA : « nous encourageons les hôpitaux à cesser
d’utiliser ces pompes aussi prestement que possible ».
L’équipe de réaction d’urgence
chargée des systèmes de contrôle industriels du Département de la sécurité
intérieure a été mise au courant de ces vulnérabilités.
Hospira, ainsi qu’une
équipe de chercheurs indépendants, ont confirmé que les systèmes de perfusion
Symbiq sont accessibles à distance au travers du réseau des hôpitaux. Des
individus non-autorisés sont donc en mesure de prendre le contrôle de ces
appareils et de modifier les doses médicamenteuses à administrer.
Une situation qui
pourrait s’avérer mortelle. Fort heureusement, « la FDA et Hospira n’ont
encore enregistré aucun cas d’accès non-autorisé au système de perfusion Symbiq ».
La première étape
essentielle de la réduction du risque d’accès non-autorisé à ces systèmes est
la déconnexion des appareils affectés.
En d’autres termes, il n’y
a pas de solution au problème. Il faut donc déconnecter les appareils affectés
de l’internet des choses, et faire face ensuite aux conséquences
opérationnelles.
La « sécurité en
ligne » est le fruit de l’imagination des équipes marketing. Il n’y a
rien de tel qu’un appareil connecté et sécurisé. Les meilleures mesures de
sécurité ne font que rendre le travail des pirates plus difficile et plus
long. Elles ne le rendent pas impossible.
Nous avons déjà accepté,
malgré certains épisodes occasionnels, que nous vivons dans une société de
surveillance homogène. Mais l’internet des choses va bien plus loin que la
surveillance. Il ne s’agira pas là de la seule affaire de vulnérabilité
potentiellement mortelle. Mais continuons de saluer l’internet des choses, et
tout l’argent de la Silicon Valley qui gravite autour de lui. Après tout, il
ne peut qu’être bon pour nous.
Et il y a de l’espoir.
Selon Equifax, les consommateurs reprennent « finalement une vie normale ».
Lisez ceci : This
is What We’ve Been Waiting for, the True Recovery of the American Economy