« Tout devient ordinateur », a déclaré Mikko Hypponen, Chief Research Officer chez F-Secure à l’occasion de sa conférence donnée en octobre 2018, à l’occasion des Assises de la cyber sécurité. Et cela a son importance, car « si un objet est intelligent, alors il est vulnérable ». C’est la loi d’Hypponen.
Quels sont les appareils concernés par la loi d’Hypponen ?
« Elle concerne tous les appareils connectés, tous ces appareils “intelligents” présents sur nos réseaux. Je suis le premier à le savoir : je suis le père de la loi Hypponen, qui vous dit que chaque fois qu’un objet est décrit comme smart ou intelligent, vous devez comprendre que cet objet est vulnérable.”
Mikko a d’abord tweeté sa loi, donnant lieu à plus de 60 000 résultats de recherche sur Google, il y a presque deux ans, en décembre 2016. Depuis lors, cette loi semble se vérifier un peu plus chaque jour.
Même le FBI et Interpol ont adressé un message aux internautes pour les convaincre de ne pas se fier à un appareil sous prétexte qu’il est doté d’un clavier.
« Voici un smartphone : un téléphone vulnérable », explique Mikko Hypponen. « Voici une smart watch : une monde vulnérable. Une voiture intelligente, une ville intelligente, un réseau intelligent…. Vous voyez où je veux en venir. »
Intelligents… dans quelle mesure ?
Il existe déjà des préservatifs “intelligents”, des valises intelligentes, des brosses à cheveux intelligentes. Près de la moitié des foyers américains disposent d’une “smart TV” et une nouvelle étude de F-Secure confirme que le seul frein à une adoption encore plus rapide des objets connectés est l’inquiétude qu’éprouvent les adeptes de ces appareils, en matière de confidentialité et de protection des données personnelles.
Pour les entreprises, le passage au tout-connecté a débuté il y a déjà presque dix ans. Pour se faire une idée précise de cette évolution, Mikko conseille de visiter une usine : des entreprises de tous bords font reposer l’ensemble de leur activité sur des systèmes informatiques de contrôle industriel. Des milliards d’euros.
« Et quand tout devient ordinateur, les entreprises sont piratées de façon surprenante », poursuit-il.
Mikko Hypponen mentionne à ce sujet l’un des plus importants piratages de cartes de crédit de l’histoire – le piratage de Target, en 2014.
« Les numéros de crédit étaient dérobés au moment où les clients payaient à la caisse…. Les terminaux de carte de crédit du magasin volaient les numéros de carte. »
Comment est-ce arrivé ?
« Eh bien, il s’avère que les pirates étaient entrés par le système de ventilation », explique-t-il. « Non, pas comme Bruce Willis ou Tom Cruise »…mais en piratant les ordinateurs qui contrôlaient les systèmes de ventilation.
Ces systèmes ICS « contrôlent le monde qui nous entoure ». Et tout ordinateur peut être piraté.
Cliquez ici : en lisant ce récit relatant une attaque ciblée visant le secteur industriel, vous réaliserez à quel point nous sommes devenus vulnérables.
Tout ce qui est connecté doit être protégé
C’est l’essence même de la loi d’Hypponen : tout ce qui peut être programmé, peut être piraté… et un système de ventilation peut parfois permettre à un pirate d’accéder à d’autres systèmes, beaucoup plus intéressants.
« Ils ne piratent pas votre machine à laver ou vos réfrigérateurs pour contrôler ces appareils », a déclaré Mikko lors d’un podcast Tomorrow’s Capital de Nasdaq. « Ils les piratent pour accéder à votre réseau… et le maillon le plus faible d’un réseau est bien souvent un objet connecté. Nous l’avons constaté à maintes reprises. Les réseaux professionnels sont piratés à cause de systèmes automatisés de ventilation qui n’ont rien à voir avec des ordinateurs portables ou des serveurs. Pourtant, ce sont des ordinateurs… parce que tout devient ordinateur. »
Je le répète, tout devient ordinateur, donc tout devient vulnérable. C’est déjà le cas pour nos entreprises et, bientôt, cela se vérifiera encore davantage pour nos foyers.
Si nous voulons pouvoir anticiper l’avenir, il nous faut tenter d’imaginer comment nous vivrons dans un monde régi par la loi Hypponen.
Catégories