La sécurité informatique des équipements urbains "intelligents" est affolante, et les exemples de cette défaillance s'accumulent. Malheureusement, les responsables de ces systèmes sont loin d’en avoir pris conscience.
Dans le jeu vidéo Watch Dogs, le héros, un hacker nommé Aiden, évolue dans un Chicago où toutes les infrastructures sont gérées par un système informatique. D’un simple clic sur son mobile, il lance un virus sur le réseau et fait sauter l’électricité dans toute la ville. Son smartphone "amélioré" lui donne également accès aux feux de circulation, ponts et caméras de contrôle.
Une pure fiction ? En mars 2016, Verizon a détecté une faille de sécurité dans une usine d’eau potable aux États-Unis. Outre l’accès aux données de 2,5 millions de clients, le pirate aurait facilement pu contrôler la pression ou la température de l’eau, modifier les traitements chimiques et même couper entièrement l’approvisionnement. Tout cela à cause d’un système hors d’âge.
En 2014, lors d’un reportage d’Envoyé Spécial on pouvait voir le maire de Nice Christian Estrosi piégé par la journaliste lui montrant comment un hacker avait pu récupérer facilement des données de carte bancaire pour payer son parking ou éteindre les lampadaires grâce à un simple accès Wifi. Le maire venait pourtant d’affirmer qu’il n’avait "pas trouvé la moindre fragilité" dans son formidable dispositif de ville intelligente.
Des maires fiers de leur ville intelligente et trop sûrs d’eux
Et c’est bien là le problème : alors que les villes multiplient les équipements connectés, les failles béantes de sécurité apparaissent au grand jour sans que les acteurs publics n’en n’aient conscience.
Lors d’une table ronde organisée dans le cadre du récent colloque de la FNCCR, l’organisme rassemblant les collectivités territoriales spécialisées dans les services publics locaux en réseau, le chef de projet sécurité des systèmes industriels de l’ANSSI Stéphane Meynet, s’est amusé à décrire les petites blagues de leurs équipes d’audit : "Pour sensibiliser les acteurs, on met sur les panneaux d’affichage électronique [comme ceux que l’on voit sur les autoroutes] “L’ANSSI vous souhaite une bonne route ou bonne journée”. Une personne plus malveillante aurait pu mettre : “épidémie de gale, la ville est évacuée”, et provoquer une belle panique".
Les hôpitaux visés par des demandes de rançons
Un autre genre d’attaques est en plein boom : les "ransomwares" (rançongiciel). Des pirates s’emparent de données confidentielles et demandent une somme d’argent contre leur restitution. Les administrations publiques constituent une cible privilégiée, avec plusieurs exemples récents contre des hôpitaux aux États-Unis ou en France. 1 300 attaques informatiques contre des établissements de santé ont été signalées en 2015 dans l’Hexagone selon Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) au ministère des affaires sociales.
A Boulogne-sur-Mer, l’hôpital Duchenne a ainsi été affecté par un rançongiciel à trois reprises en moins d’un mois ; 10 000 fichiers ont été chiffrés et rendus inaccessibles. "Malheureusement, c’est quand leurs données sont prises en otage que les utilisateurs se rendent compte qu’ils ont négligé des règles informatiques simples", regrette Tanguy de Coatpont, directeur général de Kaspersky Lab France.
Une extrême "légèreté" dans la manière de traiter les questions de sécurité
"Dans toutes les villes que nous avons visitées dans le monde, nous avons trouvé de grossières failles de sécurité y compris pour des infrastructures critiques", relate Cesar Cerrudo, Chief Technology Officer à l’IOActive Labs. Selon cet expert, plus de 200 000 feux et panneaux de signalisation dans les grandes villes (dont Washington, Lyon et Londres) peuvent être facilement piratés. "Il serait possible d’allonger ou de raccourcir la durée d’un feu vert, d’afficher des limites de vitesse fantaisistes". Avec des conséquences parfois dramatiques, y compris des accidents mortels.
"Les plupart des décideurs sont complètement aveuglés par le mirage de la technologie", s’inquiète Stéphane Bortzmeyer, ingénieur réseaux. "Ils ne veulent pas accepter qu’il n’existe pas de risque zéro". Les maires et responsables des technologies semblent s’en remettre totalement aux fournisseurs. "Il y a une légèreté dans la manière de traiter les questions de sécurité. Lorsque vous essayez d’en savoir un peu plus, vous obtenez des réponses vagues, du genre "ne vous inquiétez pas, on s’en occupe". Nous avons pu le vérifier nous-mêmes en joignant quelques collectivités.
Plus grave, les fabricants eux-mêmes, persuadés d’avoir mis au point des systèmes 100% fiables, se bercent totalement d'illusions. "L'arrogance et l'ignorance des concepteurs est réellement effrayante", note dépité Stéphane Bortzmeyer. Et de déplorer : "les nouveaux systèmes sont élaborés aujourd’hui en totale ignorance de ce qu'on a appris en informatique depuis 20 ans". Quant aux vendeurs de matériel, les interlocuteurs des collectivités, ils "n’ont absolument aucune compétence en matière de sécurité", assène Cesar Cerrudo. "Les clés de sécurité utilisées sont souvent identiques, largement partagées ou tout simplement manquantes".
Les logiciels sécurisés jusqu’à quatre fois plus chers
Le problème c’est que la sécurité a un prix. Jusqu’à trois ou quatre fois plus cher par rapport à un logiciel "basique". "Lorsque quelqu’un vous fait miroiter de belles économies en connectant tout votre équipement en réseau et que de l’autre côté vous devez investir beaucoup pour sécuriser tout ça, la balance ne penche pas toujours du bon côté", regrette Stéphane Bortzmeyer.
Il existe pourtant des précautions à prendre qui ne coûtent pas un centime. Comme par exemple... ôter l’étiquette où figurent le modèle et le numéro de série de la caméra de surveillance, ce qui évite au pirate de remonter facilement jusqu’au code source de l’appareil. Pour éviter de devoir payer une rançon contre l’accès à des données volées, une simple sauvegarde automatique quotidienne suffit. "Surveillez les fichiers que vous téléchargez sur Internet ou recevez par e-mail, en particulier de sources non fiables et appliquez régulièrement les correctifs de sécurité", rappelle Tanguy de Coatpont. Des conseils simples mais qui nécessitent une mobilisation de toute l’administration publique. "Les municipalités doivent mettre en place de plans de secours en cas de cyberattaque et éduquer les citoyens sur les conduites à adopter", recommande Cesar Cerrudo.
La ville connectée, mais jusqu’où ?
D’autre part, toutes les données n’ont pas besoin d’être protégées au même niveau de sécurité. "S’il s’agit uniquement de capteurs, par exemple un badge d’entrée dans un piscine, le hacker pourra au maximum récupérer des données personnelles, mais c’est tout. En revanche si le logiciel a un capacité d’action, comme couper le courant, c’est beaucoup plus grave", explique Stéphane Bortzmeyer. Pour limiter les risques, le réseau peut par exemple être "partitionné". Au lieu d’éteindre tous les lampadaires de la ville, le hacker n’aura accès qu’à un seul quartier ou rue à la fois. Evidemment, la gestion est moins pratique puisqu’il faut gérer individuellement chaque quartier.
Peut-on avoir le beurre et l’argent du beurre ? Entre smart city et sécurisation des équipements sensibles, il va malheureusement falloir choisir. "Les responsables doivent se demander en amont quelles données ont vraiment besoin d’être collectées et s’il est bien nécessaire de relier tel ou tel équipement à Internet dans un autre but que de faire "moderne", appuie Stéphane Bortzmeyer. Pour ce spécialiste, "connecter à l'Internet un système de contrôle, comme disons l'eau potable ou l’électricité, est irresponsable et ne devrait tout simplement pas être fait"
Envie d’en savoir plus sur le réseau, son omniprésence, sa sécurité et ses défaillances ? Rendez-vous à la Gaîté Lyrique (Paris), le 23 novembre, de 19h30 à 22h00 pour poursuivre les conversations engagées lors de notre Maddy Keynote et découvrir notre Maddy Talk consacré au réseau. Pour réserver vos places, c’est ICI.