Sécurité: on ne peut pas reporter toute la responsabilité à l’utilisateur

Yves Hulmann

2 minutes de lecture

Pour Dominique Guinard, co-fondateur de Evrythng, l’Internet des objets (IoT) engendre des risques nouveaux pour les systèmes informatiques.

Aux côtés de l’intelligence artificielle (AI) et de la technologie des chaînes de blocs (blockchain), l’Internet des objets (Internet of Things ou IoT en anglais) compte parmi les développements technologiques les plus en vue du moment. Une évolution qui implique toutefois aussi de nouveaux risques sur le plan de la sécurité et qui a été abordée dans le cadre des Swiss Cyber Security Days qui se sont tenus mercredi et jeudi à Fribourg. Entretien avec Dominique Guinard, co-fondateur de EVRYTHNG, et spécialiste de l’Internet des objets (IoT).

Les Swiss Cyber Security Days ont rassemblé des spécialistes issus de domaines très différents, actifs dans des branches diverses avec des préoccupations très variées. Quelle est la valeur ajoutée d’un tel événement pour un spécialiste comme vous?

C’est justement cette grande diversité de compétences et d’approches qui m’a plu dans cet événement. Contrairement à d’autres congrès ou rassemblements, il n’est pas destiné uniquement à des «hackers» ou à des gens issus de l’«underground» informatique. Il n’est pas non plus réservé à des chercheurs en sécurité ou à des entreprises de conseil. Le fait d’organiser une telle rencontre avec des gens ayant des expériences et des intérêts très divers permet de créer des connexions intéressantes entre utilisateurs et experts.

Vous êtes spécialisé dans l’Internet des objets (IoT). Ce domaine comporte-t-il des dangers spécifiques par rapport aux autres systèmes informatiques?

Les risques diffèrent du point de vue de leurs implications – l’Internet des objets implique en effet que toutes sortes d’appareils et équipements peuvent potentiellement faire l’objet d’attaques. Avec l’informatique classique, le danger est avant tout que vous vous fassiez voler vos données ou que votre système informatique – par exemple votre réseau de PC, vos serveurs – soit entièrement bloqué. Avec l’IoT, c’est le fonctionnement même d’équipements ou d’infrastructures qui peut être entravé. Pour autant, les dangers sont, d’un point de vue technique, très similaires aux autres risques liés au web. Pourquoi? Le point commun se situe justement dans le «I» de l’IoT, car en fin de compte, c’est toujours via Internet que les attaques informatiques sont réalisées. Le monde numérique s’étend constamment et les dangers qui accompagnent ce développement aussi.

Des attaques nouvelles peuvent être construites à l’encontre d’instituts financiers,
ce qui est susceptible d’affecter une part croissante de leurs activités.
Le secteur financier est-il lui aussi davantage exposé qu’auparavant avec la mise en connexion de toutes sortes d’équipements via Internet?

On ne peut pas dire que le secteur financier soit plus ou moins exposé que n’importe quel autre domaine. Ce qui a changé par rapport à avant est que les systèmes informatiques bancaires sont désormais toujours plus largement intégrés avec Internet. Avant, chaque système fonctionnait un peu en vase clos – maintenant, tous les systèmes sont devenus connectés entre eux. Cela signifie que des attaques nouvelles peuvent être construites à l’encontre d’instituts financiers, ce qui est susceptible d’affecter une part croissante de leurs activités.

Récemment, le débat s’est beaucoup concentré sur les risques pouvant émaner des équipementiers et fournisseurs de solution. Il suffit de penser au débat concernant Huawei, soupçonné d’espionner ses clients. Cela ne détourne-t-il pas l’attention du fait qu’une grande partie des risques informatiques se situent au niveau du comportement des utilisateurs eux-mêmes?

Non, je ne pense pas que l’on puisse simplement reporter la responsabilité sur l’utilisateur. Par exemple, dans le domaine de l’Internet des objets, je suis toujours surpris par le nombre d’objets connectés qui utilisent encore à la fois un mot de passe et le nom d’utilisateur par défaut. Cela facilite l’intrusion dans de tels systèmes. On peut bien sûr toujours mieux éduquer les gens à se prévenir contre les risques informatiques. Toutefois, compte tenu du nombre grandissant d’objets connectés qui échangeront des données entre eux, je ne pense pas que l’on puisse simplement déléguer la responsabilité des aspects liés à la sécurité à l’utilisateur.

Comment peut-on inciter les concepteurs ou fabricants d’objets connectés à intégrer dès le départ les aspects liés à la sécurité?

C’est bien tout l’enjeu. Sur ce plan, la réglementation contribuera à mon avis aussi à faire avancer les choses. Par exemple, une loi californienne interdit déjà aux fabricants d’objets connectés de laisser ces derniers fonctionner avec un mot de passe et un nom d’utilisateur par défaut. Agir ainsi revient à laisse toutes les portes ouvertes aux hackers ou autres personnes qui veulent effectuer des attaques informatiques ! Et il est souvent beaucoup plus facile de pénétrer dans certains réseaux qu’on ne le pense. Sans être un spécialiste du hacking, j’ai réussi moi-même en cinq minutes à entrer dans un système de recharge de batteries de voitures – et cela sans aucune connaissance spécifique dans ce domaine.

Quel enseignement tirez-vous de cette expérience?

Je pense que les producteurs et fabricants d’objets connectés doivent, dès le départ, intégrer l’aspect sécurité dans le développement de leurs produits. Ceux-ci ont en effet beaucoup de pression à mettre sur le marché le plus rapidement possible des objets connectés – sans s’être toutefois véritablement préparés aux questions de sécurité. Souvent la sécurité est considérée comme une «after thought» – quelque chose à quoi l’on pense dans un second temps – je crois au contraire qu’il faut intégrer cet aspect dès le départ.