Gerd Leonhard
La sécurité dans un monde d’ordinateurs doués de capacités physiques . C’est le titre d’un article de Bruce Schneier paru dans les colonnes du New York Times et qui sera l’un des sujets abordés dans un de ses prochains livres.
Le point de vue de Schneier peut être résumé de la manière suivante : tant que les cyber-attaques ne faisaient que des cyber-morts (quand bien même celles-ci impliqueraient des pertes financières importantes), le niveau de « crainte » demeurait assez bas. Mais avec la généralisation des objets de l’internet, une cyber-attaque peut se traduire par des dommages physiques et mécaniques. Quand bien même le niveau de « risque » est encore assez bas en matière de blitzkrieg visant les pompes à insuline et les stimulateurs cardiaques, le niveau de « crainte », quant à lui, est en forte croissance.
Et Schneier d’expliquer que les chose ne vont pas en s’améliorant pour une raison structurelle simple. Tout, dans le secteur informatique, a été prévu pour que bon nombre de hiatus logiciels puissent être corrigés. C’est le principe du déploiement de correctifs, rendu nécessaire pour que le niveau de confiance accordé aux outils et aux logiciels ne vienne pas entraver les chiffres de ventes. Le monde IoT est pratiquement dépourvu de ce genre de roue de secours. Soit parce que les moyens de communication numériques et de mise à niveau sont inexistants ou inadaptés, soit parce que la course au time to market fait que la version prochaine arrive sur le marché avant même qu’ait pu être développée une rustine.
L’on pourrait développer cette idée (ce que ne fait pas l’auteur) et aller jusqu’à affirmer que précisément, il n’est pas dans l’intérêt même des industriels de l’IoT (de l’atomixeur à la peluche bébé) de « patcher » et améliorer le moindre objet, puisque la découverte de failles, voire l’entretien de ces mauvaises pratiques quasi institutionnelles, pourraient pousser ipso facto à l’achat systématique du dernier modèle en date qui, espérons-le, serait dépourvu des tares de la génération précédente. L’insécurité des IoT dans le secteur de la grande consommation est une forme d’obsolescence programmée, en d’autres termes une démarche visant au vieillissement volontaire du produit vendu.
Le fondement de ce profond clivage sécuritaire vient de la nature de ce qui est vendu. Schneier l’explique bien : les uns vendent de l’immatériel et de la « confiance », et se doivent d’entretenir ce qui est vendu, les autres vendent de l’objet, du tangible, donc du périssable, et n’ont strictement aucun intérêt à entretenir ce qui est vendu et encore moins d’entretenir le plus petit atome de confiance, laquelle est synonyme de conservation et de stase marketing. Et il est très peu probable que les choses changent, puisque la seule chose qui pourrait faire évoluer les pratiques vertueuses des industriels de l’IoT serait une contrainte financière imposée par une instance de régulation ayant le pouvoir de se faire respecter. Or, dès lors qu’il s’agit de condamner, d’imposer des amendes lourdes ou de taxer, les institutions politiques deviennent soudainement très cauteleuses, avançant les « freins à la création d’entreprise et à l’essor économique ». Le brick and mortar est bien plus protégé par 200 ans de logique industrielle que le secteur des « matières molles ».
S’ajoute à cette escalade au gaspillage un bilan écologique néfaste. L’on accuse, souvent à raison, le secteur des nouvelles technologies de tous les maux en matière de bilan carbone. La consommation d’électricité tant des grands datacenters que des stations de travail a un impact sur l’écosystème, reconnu par ceux-là mêmes qui vendent du service en ligne et qui construisent lesdits datacenters avec force greenwashing. Le secteur de l’IoT, s’il n’est pas encadré dès ses premiers pas, non seulement s’avèrera aussi négatif en termes de consommation d’énergie dans le Cloud (il n’est de bon IoT que d’IoT connecté) qu’en matière de résidus non recyclables des milliards d’objets frappés d’obsolescence organisée. Le problème du recyclage des ordinateurs n’est rien comparé à celui posé par l’informatique embarquée du quotidien. Les échelles ne sont pas les mêmes.
Vient enfin l’un des derniers « points noirs » de l’IoT, la fiabilité de la « supply chain » ou de la source originelle produisant des modules OEM. Comme le prouve la très récente affaire des caméras Xiongmai, et sans pour autant imaginer de sinistres espions à la solde de Pékin capables d’infiltrer la quasi-totalité des appartements-maisons truffés d’Alexa ou Google Home, la succession de sous-traitants est un facteur d’opacité, donc de risques. Risques d’autant plus importants que les failles et abus d’usage de ces IoT ne sont, pour l’heure, audités que par quelques chercheurs. Rien n’est systématique en matière d’analyse de dangerosité cyber ou physique, rien ou presque n’est soumis à la moindre règlementation, et quand bien même ce le serait que le respect des contraintes légales telles que celles imposées par les Cnil d’Europe ne semble pas franchement inquiéter les producteurs d’Orient ou d’Outre Atlantique. Il est plus facile aux services des douanes d’intercepter une cargaison de faux sacs de marque qu’un wagon d’aspirateurs autonomes ou de poupées « intelligentes » intégrant un login admin, mot de passe 1234.
