Sécurité : « En interconnectant tout, nous sommes en train de créer un monstre »

Rencontre avec Mikko Hyppönen, directeur de la recherche du géant de la sécurité informatique, made in Finlande, F-Secure. Mikko Hyppönen était à Paris pour l’USI, conférence autour de la transformation digitale des entreprises. Il y a déroulé une intervention remarquée.

L’Atelier : Lors de votre intervention vendredi à l’USI, vous avez pointé le danger grandissant du cyberterrorisme. Aujourd’hui, expliquez vous, les cyber-terroristes auraient suffisamment de connaissances pour faire d’importants dégâts sur Internet.

Mikko Hyppönen, F-Secure : Oui, et c’est un problème qui prend de l’ampleur de jour en jour. Pour autant, pour l’instant, on n’a pas encore assisté à de grosses cyberattaques. Celles qui ont marqué nos esprits ne relèvent pour l’instant que du piratage de sites, principalement sur des contenus. Mais ça n’ira certainement pas en s’arrangeant, bien au contraire. Ces groupes extrêmistes sont tout à fait prêts à mener le genre d’assaut auquel personne ne se prêterait.

Quelles mesures peuvent être prises à l’échelle d’un gouvernement pour contrer ce phénomène ?

Aujourd’hui, il est primordial de pouvoir combattre tout type de « crimes » en ligne, pas seulement l’extrémisme. Les autorités devraient être formées, organisées de sorte d’opérer efficacement en ligne. Et ça passe, d’abord, par la compréhension d’internet. Prenons par exemple les méandres du deep web : ils devraient avoir la possibilité de traquer les individus en faute jusque dans le deep web.

Mais c’est un travail de funambule. A la fois, nous avons vraiment besoin que la police ait les moyens d’officier en ligne ; pour autant, nous devons aussi être sûrs de ne pas sacrifier une partie de notre vie privée, en vain. La transparence est donc primordiale à tout gouvernement souhaitant exercer des mesures offensives sur la Toile. En tant que citoyens, nous devons savoir précisément ce que nos gouvernements font en ligne. Prenons un exemple : si je donne à l’Etat la permission de hacker éventuellement mon ordinateur pour mener à bien une enquête, j’ai besoin de savoir si cela est utile. Nous avons besoin de statistiques qui quantifient l’efficacité, qui décidera de la bonne poursuite de telles mesures. Pour l’instant, nous ne savons pas quelle voie prendre. Ce qui reste sûr, nous avons besoin de transparence !

Une étude récente révèle que le marché des voitures connectées devrait atteindre les 47 milliards de dollars d’ici 2020. Pour autant, peut-on déclarer qu’elles sont sûres ? Ne pourraient-elles pas représenter une proie de choix pour les cybercriminels ?

De manière générale, tout objet électrique en passe d’être « connecté », relié au web est vulnérable aux attaques. Pour autant, ça ne signifie pas que les attaques vont se multiplier, à moins qu’il n’y ait de bonnes raisons. Une voiture « hackable » n’est pas nécessairement, hackée. Certes, il est possible de dérégler la bonne marche de la voiture, de désactionner un frein. Mais pourquoi le faire ? Je vois plus de probabilités à ce qu’on utilise le hack pour voler. On a d’ores et déjà des défaillances dans les systèmes de verrouillage « intelligent » de certaines voitures allemandes.  Les motos Ducati ont aussi été la cible de piratage.

Tout ce qui est « smart » serait donc vulnérable ?

Le problème avec les appareils connectés et de manière plus générale, l’Internet des objets est que les sociétés qui les conçoivent ne placent pas la sécurité au cœur de leurs préoccupations. Quand vous achetez un micro-ondes ou un grille-pain connectés, la sécurité en ligne ne sera pas un facteur d’achat. Nous sommes en train de tout interconnecter mais nous sommes aussi en train de créer un monstre.

Autre marché « smart » qui est en train d’exploser : celui de la smart city. Qui dit smart city dit OS. Cisco, IBM et bien d’autres sont en train de concevoir leur propre système d’exploitation appliquée à l’échelle d’une ville. Si un Windows est sensible, ne pourrait-on pas imaginer une ville « intelligente » l’être tout autant ?

Oui, ce type d’attaques serait théoriquement possible. Mais encore une fois, pour toute attaque, il faut une raison, un motif. Je ne crois pas que les gangs ou mafias ordinaires soient intéressées par la perspective de mettre à bas une ville. Comment gagneraient-ils de l’argent ? En revanche, et on revient à ma préoccupation première, le cyber-terrorisme pourrait, lui, prendre pour cible une ville.