Actualité web & High tech sur Usine Digitale

"Les gens sont déjà en faillite de données personnelles alors que le marché n'a même pas démarré"

|
Twitter Facebook Linkedin Google + Email
×

Entretien La sécurité de l'Internet des objets, qu'il soit grand public ou industriel, se décide aujourd'hui. Elle implique d'avoir une approche "security by design" pour les objets connectés, de garder un coup d'avance sur les pirates, et de continuer à éduquer les utilisateurs, sur la valeur de leur données. C'est du moins ce qu'ont expliqué Raj Samani et Gary J. Davis, respectivement CTO de la région EMEA et Chief Consumer Security Evangelist chez Intel Security, à L'Usine Digitale au Mobile World Congress 2016.  

Les gens sont déjà en faillite de données personnelles alors que le marché n'a même pas démarré
Gary J. Davis et Raj Samani © Christopher P. Ayers

L'Usine Digitale - Quelles sont les menaces qui pèseront à l'avenir sur l'Internet des objets ?

Raj Samani - Cela fait des années que nous voyons des piratages dans l’Internet des objets. Avec les distributeurs automatiques de billets par exemple. Les criminels les attaquent déjà depuis longtemps par des canaux auxiliaires (en exploitant des failles dans l’implémentation des mesures de sécurité, et pas dans les mesures elles-même), en compromettant l’intégrité matérielle des distributeurs. Autre exemple, nous sommes partenaires de tous les principaux vendeurs de solutions de point de vente.

Des centaines de millions de numéros de cartes de crédit ont été volées à partir de points de vente ces dernières années, avec le malware BlackPOS [ndr: au cœur des affaires Target et Home Depot]. Et pourtant nous avions identifié ce malware un an avant que l’attaque ne se produise. Donc en vérité les menaces sont déjà là.

 

Gary J. Davis - C’est une problématique présente dans tous les marchés verticaux. Y compris les smartphones, dont on oublie souvent qu’ils sont l’un des éléments clés de l’Internet des objets. La plupart des consommateurs ne perçoivent pas le smartphone comme la plate-forme informatique riche et complexe qu’elle est. Nous avons vu une augmentation incroyable du nombre de malwares sur mobiles, c'est pour ça que nous sommes présents par défaut sur les Galaxy S6 et S7. Les vulnérabilités sont présentes à tous les niveaux, même dans l’OS. On l’a vu avec Stagefright l’année dernière.

 

En quoi la 5G est-elle un nouveau défi en matière de sécurité ?

R. S. - Dans le temps, l’analogique était assez sécurisé, pas vrai ? Et la 2G aussi. Et la 3G, la 4... Le défi est toujours le même : savoir si nous avons les bonnes briques à la base pour garantir la sécurité. La 5G créera un statut d'hyperconnectivité, et le défi sera d'intégrer de la confiance au cœur de ces appareils. Cela veut dire faire du "security by design", pour surveiller et gérer les menaces en permanence et en temps réel. La sécurité est un processus, pas une fonctionnalité.

 

G. D. - La sécurité n’est jamais absolue. Il nous faut travailler encore et encore pour toujours garder un coup d’avance. Et c’est un écosystème, qui combine de la recherche de vulnérabilités, des partenariats entre différents acteurs, de la standardisation, du développement produit… Il n’y a pas de solution miracle. On protège une situation à un moment précis, mais les criminels trouveront toujours le moyen de contourner les mesures de sécurité. C’est en évolution permanente.

 

Que pensez-vous de la recrudescence de cyber-attaques contre les infrastructures critiques ?

R. S. - Nous sommes très attentifs à ces situations. Nous sommes entre autres conseillers en sécurité sur l’un des plus gros déploiements smart city au monde, qui sera annoncé le mois prochain. Nous sommes aussi présent dans l’automobile, secteur dans lequel il y a de plus en plus de vulnérabilités. Nous avons publié l'année dernière des travaux démontrant qu'on peut passer outre le contrôle des freins dans les voitures, par exemple.

 

Le problème, c'est que la barrière en matière de connaissances technologiques nécessaires pour pirater un système de contrôle industriel (ICS) est en train de disparaître. Nous avons par exemple découvert par le passé la preuve que des criminels vendaient l’accès à un générateur hydroélectrique en France. Ils le faisaient sur le marché noir, en ligne, comme on l’a vu faire il y a 15 ans pour les cartes de crédit.

 

Faudra-t-il encore de nouveaux scandales pour qu'il y ait une prise de conscience du public ?

R. S. - Cela peut créer des opportunités pour la prise de conscience du public, mais il ne faut pas être alarmiste. Beaucoup de nos concurrents utilisent volontiers la peur pour vendre leurs produits, mais ce n’est pas notre approche chez Intel. Par exemple, dans le cas de la panne électrique en Ukraine, nous n’avons rien publié pendant un mois. Nous ne nous sommes pas lancés dans des spéculations ou autre, nous avons collaboré avec la victime, analysé le malware, et publié nos résultats. Cela nous semble être le comportement responsable à avoir. L’attribution des attaques à tel ou tel acteur me pose toujours problème notamment, car il est difficile de vraiment savoir d’où elles proviennent. Il n’est pas dur de trouver des criminels prêts à vendre leurs services au plus offrant.

 

Et du côté grand public ?

G. D. - HP a publié une étude l’année dernière sur les dix appareils les plus utilisés dans la smart home, et leur a trouvé 25 vulnérabilités chacun. C’est déjà difficile de faire en sorte que les consommateurs mettent à jour leurs smartphones... Un tiers des utilisateurs n’y a même pas de code PIN ! Il faut qu'il y ait une prise de conscience, mais ce sera un combat de longue haleine. Après, tout dépend du contexte. J’ai moi-même accès à toute ma vie sur mon smartphone. J’ai un Nest, je peux contrôler ma voiture, j’ai tout mes comptes en banque… Il faut évaluer le risque. Car quoi qu’il arrive, toute situation présente un risque. Ce qui compte c’est de bien le jauger.

 

L'authentification biométrique (par empreintes digitales, reconnaissance faciale...) ne serait-elle pas la solution ?

G. D. - Ca en fait partie, mais je pense que l’authentification multi-facteurs est la véritable solution. Nécessiter que le smartphone soit connecté à une montre, avec en plus une identification biométrique, un code PIN, du geofencing (restriction à une zone géographique)... Quand on combine tout ces éléments, il devient beaucoup plus difficile de compromettre un appareil. L’analyse comportementale et le machine learning auront également un rôle plus important à jouer dans les années à venir.

 

Et le chiffrement ? Faut-il juste tout chiffrer ?

G. D. - Ce n'est que mon opinion personnelle, mais je dirai oui.

 

R. S. - Cela dépend... De l’usage, du contexte, de l’impact qu'aurait la perte des données concernées, de la puissance de calcul nécessaire au chiffrement. Il faut un équilibre entre sécurité et simplicité d’usage. Par exemple je ne chiffre pas mes photos, car je veux pouvoir y accéder facilement, et il faudrait malgré tout beaucoup d’efforts à quelqu’un pour s’en emparer, alors qu’elles n’ont pratiquement aucune valeur pour un attaquant. Par contre, mes données bancaires sont intégralement chiffrées.

 

Au final, n'est-ce pas simplement une question d'éducation ou de formation des utilisateurs ?

R. S. - Je pense que dire cela serait une réponse simpliste. Il n’y a pas qu’un seul levier, qu'une seule réponse, c’est une somme de différentes choses. En vérité je ne pense pas que les gens se fichent de la sécurité ou de la protection de leur vie privée. Mais ils ne lisent pas les conditions générales d’utilisation (CGU) des produits qu’ils utilisent, ni ne comprennent précisément ce que font ces produits.

En fait, nous vivons dans une société dans laquelle les gens n’attribuent presque aucune valeur à leurs données personnelles. Ils se disent "si c’est digital, ça ne vaut rien". Mais pourtant, si je vole votre dossier de crédit, cela peut impacter vos prêts immobiliers ; si je pirate votre compte Twitter et poste des propos racistes, cela peut vous rendre indésirable sur le marché du travail... C'est triste à dire mais les gens se déclarent déjà en faillite de données personnelles avant même que le ce marché n'ait vraiment démarré.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

Jdfor

11/03/2016 11h05 - Jdfor

Plus de 50% du big Data mondial est rempli de fausse données. Personnellement j'ai un faux nom et je remplis toujours les informations avec des données fausses. Par exemple en ce qui concerne mes revenus s’inscrit toujours un maximum totalement faux. de 500.000 euros annuels plus un faux âge possible et cohérent avec des classements de revenus Ainsi je détecte les retours et leur nature.

Répondre au commentaire | Signaler un abus

Publicité

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale