Pour Dominique Guinard, co-fondateur de Evrythng, l’Internet des objets (IoT) engendre des risques nouveaux pour les systèmes informatiques.
Aux côtés de l’intelligence artificielle (AI) et de la technologie des chaînes de blocs (blockchain), l’Internet des objets (Internet of Things ou IoT en anglais) compte parmi les développements technologiques les plus en vue du moment. Une évolution qui implique toutefois aussi de nouveaux risques sur le plan de la sécurité et qui a été abordée dans le cadre des Swiss Cyber Security Days qui se sont tenus mercredi et jeudi à Fribourg. Entretien avec Dominique Guinard, co-fondateur de EVRYTHNG, et spécialiste de l’Internet des objets (IoT).
C’est justement cette grande diversité de compétences et d’approches qui m’a plu dans cet événement. Contrairement à d’autres congrès ou rassemblements, il n’est pas destiné uniquement à des «hackers» ou à des gens issus de l’«underground» informatique. Il n’est pas non plus réservé à des chercheurs en sécurité ou à des entreprises de conseil. Le fait d’organiser une telle rencontre avec des gens ayant des expériences et des intérêts très divers permet de créer des connexions intéressantes entre utilisateurs et experts.
Les risques diffèrent du point de vue de leurs implications – l’Internet des objets implique en effet que toutes sortes d’appareils et équipements peuvent potentiellement faire l’objet d’attaques. Avec l’informatique classique, le danger est avant tout que vous vous fassiez voler vos données ou que votre système informatique – par exemple votre réseau de PC, vos serveurs – soit entièrement bloqué. Avec l’IoT, c’est le fonctionnement même d’équipements ou d’infrastructures qui peut être entravé. Pour autant, les dangers sont, d’un point de vue technique, très similaires aux autres risques liés au web. Pourquoi? Le point commun se situe justement dans le «I» de l’IoT, car en fin de compte, c’est toujours via Internet que les attaques informatiques sont réalisées. Le monde numérique s’étend constamment et les dangers qui accompagnent ce développement aussi.
ce qui est susceptible d’affecter une part croissante de leurs activités.
On ne peut pas dire que le secteur financier soit plus ou moins exposé que n’importe quel autre domaine. Ce qui a changé par rapport à avant est que les systèmes informatiques bancaires sont désormais toujours plus largement intégrés avec Internet. Avant, chaque système fonctionnait un peu en vase clos – maintenant, tous les systèmes sont devenus connectés entre eux. Cela signifie que des attaques nouvelles peuvent être construites à l’encontre d’instituts financiers, ce qui est susceptible d’affecter une part croissante de leurs activités.
Non, je ne pense pas que l’on puisse simplement reporter la responsabilité sur l’utilisateur. Par exemple, dans le domaine de l’Internet des objets, je suis toujours surpris par le nombre d’objets connectés qui utilisent encore à la fois un mot de passe et le nom d’utilisateur par défaut. Cela facilite l’intrusion dans de tels systèmes. On peut bien sûr toujours mieux éduquer les gens à se prévenir contre les risques informatiques. Toutefois, compte tenu du nombre grandissant d’objets connectés qui échangeront des données entre eux, je ne pense pas que l’on puisse simplement déléguer la responsabilité des aspects liés à la sécurité à l’utilisateur.
C’est bien tout l’enjeu. Sur ce plan, la réglementation contribuera à mon avis aussi à faire avancer les choses. Par exemple, une loi californienne interdit déjà aux fabricants d’objets connectés de laisser ces derniers fonctionner avec un mot de passe et un nom d’utilisateur par défaut. Agir ainsi revient à laisse toutes les portes ouvertes aux hackers ou autres personnes qui veulent effectuer des attaques informatiques ! Et il est souvent beaucoup plus facile de pénétrer dans certains réseaux qu’on ne le pense. Sans être un spécialiste du hacking, j’ai réussi moi-même en cinq minutes à entrer dans un système de recharge de batteries de voitures – et cela sans aucune connaissance spécifique dans ce domaine.
Je pense que les producteurs et fabricants d’objets connectés doivent, dès le départ, intégrer l’aspect sécurité dans le développement de leurs produits. Ceux-ci ont en effet beaucoup de pression à mettre sur le marché le plus rapidement possible des objets connectés – sans s’être toutefois véritablement préparés aux questions de sécurité. Souvent la sécurité est considérée comme une «after thought» – quelque chose à quoi l’on pense dans un second temps – je crois au contraire qu’il faut intégrer cet aspect dès le départ.