Objets connectés : 2015 l’année du piratage des voitures, et demain ?
Gérôme Billois, Senior Manager – CERT-Solucom
Garance Mathias, Avocat à la Cour – Cabinet d’Avocats Mathias
2015 aura vu le premier piratage d’une voiture de série permettant de désactiver ses freins ou encore d’éteindre son moteur à distance pendant qu’elle roule. Heureusement, ce piratage a été réalisé par des chercheurs en sécurité sans intention de nuire. « Cette démonstration montre la vulnérabilité des véhicules qui sont aujourd’hui des objets connectés comme les autres mais où les conséquences d’une attaque peuvent être beaucoup plus grave » analyse Gérôme Billois, expert en cybersécurité au cabinet Solucom. L’année dernière a vu la multiplication des cas d’attaques réussies sur des objets connectés divers et variés tels que des poupées, des fusils de snipers, des babyphones, ou encore des pompes à insuline.
Tout ceci montre que la cybersécurité est encore trop souvent négligée dans les phases de conception et de tests de ces objets. « Les cas médiatiques majeurs de 2015 commencent doucement à faire réagir les acteurs fabriquant ces objets, mais les sécuriser n’est pas simple et il faut disposer des compétences pour le faire » complète Gérôme Billois, « et attention il ne faut pas sécuriser ces objets comme si c’étaient de simples ordinateurs, nous avons par exemple vu des voitures qui exigent d’être mise à jour et qui pendant ce temps ne peuvent pas rouler! C’est quelque chose qui n’est pas acceptable par le grand public ». Il faut donc repenser en profondeur la sécurité des objets connectés, dans toutes leurs dimensions. Et c’est aujourd’hui une nécessité car les objets connectés laissent deviner un futur rempli d’objets autonomes (voitures, robots…) qui agiront en fonction de leur algorithme.
Abordant alors l’aspect juridique, Garance Mathias, appuie cette affirmation, indiquant que « se pose alors, au-delà des questions techniques, des questions juridiques où la notion de responsabilité devra se réinviter. C’est un débat de fond qui doit être ouvert alors même que les principaux sujets liés aux objets connectés ne sont pas encore totalement instruit.» En effet, les objets connectés collectent beaucoup de données sur nous et sur nos habitudes. Ils vont ensuite les stocker dans des systèmes informatiques bien nébuleux. Et Garance Mathias de conclure : « le risque juridique doit être analysé et traité en profondeur pour éviter de potentiels poursuites, et ce pas uniquement en cas d’incidents. Les fabricants sont naturellement concernés, mais des sociétés de renoms qui recommandent certains objets à leurs clients peuvent aussi être potentiellement inquiétés, elles ont tout intérêt à effectuer des vérifications en profondeur avant de communiquer sur des partenariats.»