Et si les pirates informatiques s’attaquaient aux villes?

visuel visuel

Prendre le contrôle des infrastructures publiques des villes au moyen d’un simple téléphone portable? C’est le scénario du jeu vidéo d’infiltration Watch Dog. A l’aide d’un smartphone, le héros pirate le programme qui contrôle toutes les installations techniques de Chicago, des ponts aux caméras de surveillance. Et si la fiction rejoignait la réalité? Pirater certaines infrastructures urbaines relève du jeu d’enfant: c’est ce qu’ont montré des chercheurs de l’Université du Michigan, aux Etats-Unis. A l’aide d’un simple ordinateur portable équipé d’une carte wi-fi, ils ont réussi à pirater le système des feux de signalisation des grandes villes de leur Etat, dévoilant des failles de sécurité informatiques inquiétantes et potentiellement dangereuses.

Aujourd’hui, les plus grandes cités sont connectées au réseau. Certaines infrastructures urbaines sont surveillées et contrôlées par des systèmes d’exploitation pilotés via internet. «L’automatisation des installations a permis aux villes d’optimiser la gestion de leurs équipements collectifs», note Nicolas Arpagian, rédacteur en chef de la revue Prospective stratégique et auteur de l’ouvrage La cybersécurité. «Souvent dictée par une politique de réduction des coûts, cette évolution a généralement été conçue loin de toute logique de sécurisation.» Autre faiblesse mise en évidence par le journaliste français, et qui serait à l’origine des failles que peuvent exploiter les pirates: les équipements et les technologies informatiques utilisés par les collectivités s’appuient souvent sur des solutions qui n’ont pas de protections particulières. Et ils utilisent internet conventionnellement, comme le grand public.

Des scénarios invraisemblables

Résultat: la gestion des infrastructures urbaines n’est pas toujours conçue pour résister à des attaques. Plusieurs exemples - tous américains - de piratages d’infrastructures publiques sont connus des spécialistes, comme la prise de contrôle de la climatisation de blocs opératoires, le détournement du système de traitement des eaux ou l’intrusion sur le système informatique de centrales nucléaires.

«Les équipements techniques sont parfois installés par des entreprises qui ne sont pas spécialisées dans la sécurité informatique. Le pilotage est accessible depuis internet et donc facilement exploitable», reconnaît Philippe Oechslin, chercheur en sécurité informatique à l’Ecole polytechnique fédérale de Lausanne (EPFL) et directeur de l’entreprise OS Objectif Sécurité. Ce spécialiste, qui réalise des tests de pénétration notamment sur les systèmes électriques (un domaine où les normes de sécurité sont élevées), affirme toutefois que la majorité des installations sont «bien protégées». Et de dénoncer les nombreux scénarios de cyberguerre qui sont souvent «tirés par les cheveux».
Pour Nicolas Arpagian, il ne faut toutefois pas sous-estimer le risque et les enjeux en fonction de la cible. «Dérégler les feux rouges d’une ville n’a pas de sens en soi. Mais si cette manipulation intervient dans le contexte d’une attaque terroriste classique, elle permettrait de l’amplifier: la perturbation du trafic rendrait par exemple difficile l’acheminement des blessés vers les hôpitaux.»


Quid des infrastructures critiques comme les centrales nucléaires? Les équipements de ce type sont protégés de manière spécifique et disposent de systèmes isolés d’internet. Un accès à distance n’est tout simplement pas possible, explique-t-on du côté de la Centrale fédérale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI). Cette dernière estime que ces systèmes ne sont attaquables que par des acteurs disposant d’un savoir-faire très spécifique et mobilisant de nombreuses ressources.

Un tel scénario est pour l’instant peu vraisemblable en Suisse, estiment les experts de la Confédération, qui redoutent davantage le piratage de systèmes de contrôles connectés à internet du type chauffage ou climatisation. On peut par exemple imaginer un scénario dans lequel un grand nombre d’appareils seraient enclenchés ou éteints simultanément, ce qui aurait comme conséquence de mettre en péril la stabilité du réseau électrique.

Sensibiliser au risque

Au niveau de la Confédération, le maître mot est collaboration. MELANI travaille main dans la main avec les opérateurs des infrastructures critiques du pays, dont les cantons et les grandes villes. Elle procède ainsi à une évaluation continue de la menace, ses analyses étant mises à la disposition des partenaires. Une collaboration entre les cantons et la Confédération est également en place dans le cadre du Réseau national de sécurité (RNS), où les questions de politique de sécurité sont approfondies.


Mais les pouvoirs publics ont-ils pris la mesure du danger? L’analyse des budgets affectés à la cyberdéfense permet d’évaluer l’intérêt porté à la question. Les montants semblent à la hausse, mais les administrations - tout comme les entreprises - ne sont pas toujours en mesure de recruter le personnel compétent. «Nos informaticiens sont encore très peu sensibilisés à ce risque», constate Jacqueline Reigner, qui a fondé Sémafor Conseils, société genevoise spécialisée dans la cybersécurité, et qui préside le Clusis, l’Association suisse de la sécurité de l’information.

«L’Université de Lausanne propose un master en droit, criminalité et sécurité des technologies de l’information. Une soixantaine de diplômes sont délivrés par an, ce qui est trop peu.» Celle qui a créé La BD de la cybersécurité, un outil original de sensibilisation, estime que les risques sont largement sous-estimés, alors que les conséquences peuvent être dramatiques. Et de militer en faveur d’une forme d’éducation à la cybersécurité à la façon de ce qui est pratiqué en matière de prévention routière.



Découvrez d'autres articles

Diktat digital: les dirigeants à la croisée des chemins.

Diktat digital: les dirigeants à la croisée des chemins.

12 décembre 2019 - Paru dans Entreprise romande

Bousculées de plein fouet par le digital, de nombreuses entreprises tâtonnent pour repenser leur stratégie, leur organisation, leur fonctionnement et leur développement.

Lire plus
Mise en concurrence d'agences: malaise dans le secteur de la communication

Mise en concurrence d'agences: malaise dans le secteur de la communication

24 mai 2019 - Paru dans Entreprise romande

Les agences de communication se plaignent de ce que les annonceurs qui les mettent en concurrence ne respectent pas toujours les bonnes pratiques promues par les associations professionnelles.

Lire plus
Internet des objets, un voile sur les étoiles

Internet des objets, un voile sur les étoiles

28 mars 2019 - Paru dans Entreprise romande

Pour chercher notre chemin, le plus simple a longtemps été de tourner nos yeux vers les étoiles. Les temps ont changé.

Lire plus