Et si les pirates informatiques s’attaquaient aux villes?

visuel visuel

Prendre le contrôle des infrastructures publiques des villes au moyen d’un simple téléphone portable? C’est le scénario du jeu vidéo d’infiltration Watch Dog. A l’aide d’un smartphone, le héros pirate le programme qui contrôle toutes les installations techniques de Chicago, des ponts aux caméras de surveillance. Et si la fiction rejoignait la réalité? Pirater certaines infrastructures urbaines relève du jeu d’enfant: c’est ce qu’ont montré des chercheurs de l’Université du Michigan, aux Etats-Unis. A l’aide d’un simple ordinateur portable équipé d’une carte wi-fi, ils ont réussi à pirater le système des feux de signalisation des grandes villes de leur Etat, dévoilant des failles de sécurité informatiques inquiétantes et potentiellement dangereuses.

Aujourd’hui, les plus grandes cités sont connectées au réseau. Certaines infrastructures urbaines sont surveillées et contrôlées par des systèmes d’exploitation pilotés via internet. «L’automatisation des installations a permis aux villes d’optimiser la gestion de leurs équipements collectifs», note Nicolas Arpagian, rédacteur en chef de la revue Prospective stratégique et auteur de l’ouvrage La cybersécurité. «Souvent dictée par une politique de réduction des coûts, cette évolution a généralement été conçue loin de toute logique de sécurisation.» Autre faiblesse mise en évidence par le journaliste français, et qui serait à l’origine des failles que peuvent exploiter les pirates: les équipements et les technologies informatiques utilisés par les collectivités s’appuient souvent sur des solutions qui n’ont pas de protections particulières. Et ils utilisent internet conventionnellement, comme le grand public.

Des scénarios invraisemblables

Résultat: la gestion des infrastructures urbaines n’est pas toujours conçue pour résister à des attaques. Plusieurs exemples - tous américains - de piratages d’infrastructures publiques sont connus des spécialistes, comme la prise de contrôle de la climatisation de blocs opératoires, le détournement du système de traitement des eaux ou l’intrusion sur le système informatique de centrales nucléaires.

«Les équipements techniques sont parfois installés par des entreprises qui ne sont pas spécialisées dans la sécurité informatique. Le pilotage est accessible depuis internet et donc facilement exploitable», reconnaît Philippe Oechslin, chercheur en sécurité informatique à l’Ecole polytechnique fédérale de Lausanne (EPFL) et directeur de l’entreprise OS Objectif Sécurité. Ce spécialiste, qui réalise des tests de pénétration notamment sur les systèmes électriques (un domaine où les normes de sécurité sont élevées), affirme toutefois que la majorité des installations sont «bien protégées». Et de dénoncer les nombreux scénarios de cyberguerre qui sont souvent «tirés par les cheveux».
Pour Nicolas Arpagian, il ne faut toutefois pas sous-estimer le risque et les enjeux en fonction de la cible. «Dérégler les feux rouges d’une ville n’a pas de sens en soi. Mais si cette manipulation intervient dans le contexte d’une attaque terroriste classique, elle permettrait de l’amplifier: la perturbation du trafic rendrait par exemple difficile l’acheminement des blessés vers les hôpitaux.»


Quid des infrastructures critiques comme les centrales nucléaires? Les équipements de ce type sont protégés de manière spécifique et disposent de systèmes isolés d’internet. Un accès à distance n’est tout simplement pas possible, explique-t-on du côté de la Centrale fédérale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI). Cette dernière estime que ces systèmes ne sont attaquables que par des acteurs disposant d’un savoir-faire très spécifique et mobilisant de nombreuses ressources.

Un tel scénario est pour l’instant peu vraisemblable en Suisse, estiment les experts de la Confédération, qui redoutent davantage le piratage de systèmes de contrôles connectés à internet du type chauffage ou climatisation. On peut par exemple imaginer un scénario dans lequel un grand nombre d’appareils seraient enclenchés ou éteints simultanément, ce qui aurait comme conséquence de mettre en péril la stabilité du réseau électrique.

Sensibiliser au risque

Au niveau de la Confédération, le maître mot est collaboration. MELANI travaille main dans la main avec les opérateurs des infrastructures critiques du pays, dont les cantons et les grandes villes. Elle procède ainsi à une évaluation continue de la menace, ses analyses étant mises à la disposition des partenaires. Une collaboration entre les cantons et la Confédération est également en place dans le cadre du Réseau national de sécurité (RNS), où les questions de politique de sécurité sont approfondies.


Mais les pouvoirs publics ont-ils pris la mesure du danger? L’analyse des budgets affectés à la cyberdéfense permet d’évaluer l’intérêt porté à la question. Les montants semblent à la hausse, mais les administrations - tout comme les entreprises - ne sont pas toujours en mesure de recruter le personnel compétent. «Nos informaticiens sont encore très peu sensibilisés à ce risque», constate Jacqueline Reigner, qui a fondé Sémafor Conseils, société genevoise spécialisée dans la cybersécurité, et qui préside le Clusis, l’Association suisse de la sécurité de l’information.

«L’Université de Lausanne propose un master en droit, criminalité et sécurité des technologies de l’information. Une soixantaine de diplômes sont délivrés par an, ce qui est trop peu.» Celle qui a créé La BD de la cybersécurité, un outil original de sensibilisation, estime que les risques sont largement sous-estimés, alors que les conséquences peuvent être dramatiques. Et de militer en faveur d’une forme d’éducation à la cybersécurité à la façon de ce qui est pratiqué en matière de prévention routière.



Découvrez d'autres articles

Elastos, l'internet du futur

Elastos, l'internet du futur

18 avril 2019 - Paru dans Entreprise romande

Google et Facebook, qui valent des centaines de milliards de dollars, nous vendent du vent sous une forme séduisante: le pouvoir de se connecter. Le bémol, c’est qu’aujourd’hui, les géants du web...

Lire plus
Blockchain, la magie du futur

Blockchain, la magie du futur

18 janvier 2019 - Paru dans Entreprise romande

C’est un mot magique importé de l’anglais dont le sens est assez banal: blockchain veut tout simplement dire «une chaîne de blocs»

Lire plus
Vers des procédures douanières entièrement numérisées

Vers des procédures douanières entièrement numérisées

26 novembre 2018 - Paru dans Entreprise Romande

Le système informatique de l’Administration fédérale des douanes est obsolète. Les Chambres fédérales ont voté un crédit de 393 millions de francs pour le renouveler et poursuivre la numérisation...

Lire plus