Cybersécurité et écoconception quels sont les liens ?
Quel est le point commun entre des imprimantes, une voiture connectée et un avion de ligne ?
La mise à disposition de terrains de jeux pour l’ingéniosité des cybercriminels qui exploitent les moindres failles de sécurité pour infiltrer les réseaux ou prendre le contrôle de nos systèmes les plus critiques. À l’image d’un baron de la drogue comme El Chapo qui s’échappe de sa prison de haute sécurité par l’endroit le moins sécurisé, les toilettes, un pirate informatique va toujours essayer de chercher la partie la plus vulnérable pour vous attaquer. Ces attaques pouvant être dramatiques pour la personne ou l’entreprise qui en est victime, il est donc nécessaire d’avoir une réflexion profonde sur ce sujet.
Dans cet article, nous allons mentionner quelques histoires d’attaques informatiques étonnantes. Cela permettra de questionner nos choix d’implémentation de nouvelles fonctionnalités. En effet, ces mésaventures ont toutes une cause commune : l’augmentation de la surface d’attaque.
La multiplication des points d’accès est un facteur de risque
Ces dernières années, nous avons tous vu débarquer dans nos salons des objets communiquant avec l’extérieur. De l’assistant vocal connecté au thermostat intelligent, ces objets rendent des services plus ou moins utiles. Le monde de l’entreprise n’échappe pas à cette règle. Que ce soit dans les visions de l’industrie 4.0 ou tout simplement pour faciliter la communication à distance, ces systèmes connectés prennent une place de plus en plus importante.
Malheureusement, certains appareils posent de grands risques. Alliant un faible niveau de sécurité et une connexion au réseau interne des entreprises, les objets connectés sont une mine d’or pour les individus malveillants. Et ils ne s’en privent pas.
Dans son article, 01net montre comment un groupe de hackers russes s’attaquent aux objets connectés pour s’en prendre aux entreprises : https://www.01net.com/actualites/un-groupe-de-hackers-russes-cible-les-objets-connectes-pour-s-attaquer-aux-entreprises-1743886.html
De plus, ces objets connectés ont souvent accès à des données privées. Imaginez qu’on puisse allumer votre webcam à distance ou avoir accès au micro de votre mixeur à soupe. Pire, imaginez qu’un individu malveillant prenne le contrôle d’un jouet pour enfant et s’en serve pour entrer en contact avec lui : https://www.france24.com/fr/20170228-hackers-ont-pirate-peluches-connectees-fait-fuiter-messages-denfants-a-leurs-parents
La multiplication de ces objets pose un réel problème de société que nous ne pouvons pas ignorer.
D’un point de vue environnemental, la diffusion de ces systèmes provoque également des impacts qui ne sont pas négligeables. De l’extraction des minerais jusqu’à leur distribution, la production des systèmes informatiques provoque des émissions de CO2 importantes, sans oublier bien sûr les autres impacts environnementaux comme la pollution des sols ou l’érosion de la biodiversité.
Pour toutes ces raisons, l’achat d’un nouvel appareil connecté ne doit pas être pris à la légère. Une question s’impose alors : Est-ce que nous en avons vraiment besoin ?
Comment une fonctionnalité annexe peut se transformer en cheval de Troie ?
Les nouveaux objets connectés ne sont pas les seuls systèmes qui peuvent être attaqués, les logiciels existants peuvent tout aussi bien l’être.
Ce n’est pas non plus qu’une question de moyens. L’aviation, l’une des industries les plus puissantes financièrement et qui a mis des moyens importants dans la sécurité a aussi été victime d’actes criminels.
Dans cet article, nous n’allons pas nous questionner sur l’intérêt de prendre l’avion, mais sur le sujet précis du divertissement à bord de ceux-ci.
Les nombreux films et séries disponibles apportent des avantages indéniables pour les usagers : réduction de l’ennui, occupation des enfants, oubli du stress (et du fait que l’on soit dans un appareil qui brûle des milliers de litres de carburant par heure ) …
Néanmoins, l’écran n’est pas un système totalement isolé du reste du monde. Par exemple, la coupure de la vidéo lors d’une communication du personnel implique nécessairement une communication entre le boitier et au moins une partie du reste de l’appareil.
Et ce lien peut tout à fait servir de support à une attaque.
Chris Roberts, un spécialiste de la cybersécurité, l’a bien montré en réussissant à modifier la puissance d’un réacteur en utilisant le système de divertissement : https://www.01net.com/actualites/un-hacker-aurait-pris-le-controle-d-un-avion-en-vol-grace-a-son-systeme-de-divertissement-654810.html
Il est en réalité extrêmement difficile d’isoler totalement un système d’un autre.
Cette histoire est un exemple parmi tant d’autres :
– Fonctionnalité annexe de Facebook : https://tech.hindustantimes.com/tech/news/facebook-data-breach-what-is-view-as-feature-and-why-it-s-been-disabled-story-vpL6KmzapfYxZVwQBumNyI.html
Cette dernière attaque est intéressante. Elle illustre en effet une philosophie bien connue des développeurs : “Pourquoi le faire ? Parce qu’on peut.”
Des hackers ont profité d’une faille de sécurité dans un service du réseau social phare de Meta. La fonctionnalité en question permettait d’avoir un aperçu de la vision de son profil par un autre utilisateur. Certes, cela a un intérêt pour l’utilisateur, mais sans être indispensable en bon fonctionnement du réseau social. Les conséquences d’une attaque sont à l’inverse extrêmement préjudiciables à la fois pour les utilisateurs, mais aussi pour l’entreprise qui voit ainsi son image entachée.
Lorsque le groupe s’est rendu compte de cette faille, ils ont immédiatement supprimé le service. Une question se pose alors : les utilisateurs ont-ils remarqué la disparition de la fonctionnalité ?
D’un point de vue général, nous pouvons lister quelques inconvénients de la multiplication des possibilités offertes par un service numérique :
- dispersion des moyens qui auraient pu être alloués à la sécurisation des services clés de l’application ou du site web
- mise en place de fonctionnalités peu utilisées qui bénéficient d’une faible attention de la part de l’équipe de développement et donc d’une plus grande vulnérabilité
- nécessité de réduire la compatibilité avec les anciennes versions d’Android ou d’iOS. Et par conséquent de diminuer le nombre d’utilisateurs potentiels
- augmentation du poids d’une application dû au développement d’un plus grand nombre de code ou de médias embarqués. Augmentant ainsi l’impact environnemental de l’application
En prenant en compte les risques associés, nous devons toujours nous demander : le confort que cela apporte vaut-il réellement les impacts que l’on provoque ?
Il est également bon de rappeler que la cybersécurité fait partie intégrante du numérique responsable. En tant que concepteur de services numériques, il est par conséquent de notre devoir de protéger les utilisateurs. L’implémentation des mécanismes de sécurité est un élément important, mais une réflexion globale englobant l’ensemble des fonctionnalités est nécessaire.
Les individus malveillants vont essayer de chercher dans tous les recoins de votre système pour s’y introduire. En massifiant le nombre de fonctionnalités, vous leur offrez de nouvelles portes qu’ils se feront un plaisir de forcer.
Finalement, toutes ces attaques nous montrent que la sobriété de nos services numériques n’est pas uniquement un outil utile dans le cadre de la transition écologique du numérique, mais cette réflexion est intéressante également dans la lutte contre la cybercriminalité.
Conclusion
En résumé, la sobriété numérique se révèle être notre alliée inattendue dans le combat quotidien pour la sécurité informatique. Avant de se précipiter sur le nouvel objet à la mode ou la conception d’une fonctionnalité posons-nous les 2 questions suivantes :
- Est-ce que c’est utile ?
- Le risque vaut-il le bénéfice que cela m’apporte ?
Dans certains cas, la réponse va bien évidemment être positive. La ceinture de sécurité alourdie la voiture, et donc augmente sa consommation d’essence, mais elle diminue fortement le nombre de morts sur les routes. La diminution du confort en valait la chandelle.
Dans un grand nombre de cas, la réponse est au contraire négative. De nos jours, les voitures peuvent atteindre des vitesses dépassant largement les 150km/h. Pourtant, il est interdit de dépasser les 130km/h. Cette mesure, prise en 1974 pour lutter contre le choc pétrolier de 1973, a été le résultat de la mise dans la balance entre les libertés individuelles d’une part et d’autre part l’effort collectif a mener contre les conséquences du choc pétrolier. Le risque n’en valait pas la chandelle.
Cette réflexion centrale de toute décision doit être au cœur des questionnements d’une équipe de développement.
Aujourd’hui, uniquement la partie avantage d’une fonctionnalité est mise en avant. Mais est oublié :
- La sécurité des utilisateurs
- Le coût financier d’une attaque informatique
- La dégradation de l’image de l’entreprise qui subit une attaque informatique
- L’impact environnemental de cette fonctionnalité
- La perte de compatibilité avec certains utilisateurs
- Et bien d’autres encore…
33 ans après l’obligation du port de la ceinture de sécurité à l’arrière, la question entre l’inconfort et la sécurité que cela apporte ne se pose plus dans le monde de l’automobile. Il faut que cela devienne également un réflexe des équipes de conception de services numériques dans le monde de l’informatique.
Après une expérience de développeur d’applications mobiles, Julien Gilbert est devenu ingénieur numérique responsable chez Greenspector. Fervent supporter de football, il s’investit activement dans la promotion de pratiques durables pour garantir un avenir durable à la pratique du sport.