Le monde s’urbanise. La tendance est d’ailleurs galopante. D’ici à 2050, plus des deux tiers de la population mondiale va résider dans une zone urbaine, selon le dernier rapport publié par l’ONU. Un vrai défi pour les collectivités publiques. Afin de répondre à cette transition, toutes mises sur les "smart cities". Un concept de villes intelligentes où les technologies de communication sont des vecteurs d’amélioration de la qualité et de la performance des services urbains entre autre. Mais à mesure que les villes gagnent en intelligence, elles deviennent aussi plus vulnérables aux attaques informatiques. Ce sont du moins les conclusions de Cesar Cerrudo.
Le directeur technique de IOActive Labs est l’un des premiers experts en cybersécurité à mener des recherches sur la sécurité des villes intelligentes. L’Argentin est l’auteur de plusieurs livres blancs sur la sécurité des bases de données et des applications. Dès 2015, il mène des recherches sur l’internet des objets et les systèmes de contrôle du trafic. En tant que fondateur de l’initiative à but non lucratif Securing Smart Cities, Cesar Cerrudo sensibilise les villes. Alors que les attaques informatiques se multiplient, il plaide pour que les villes ne deviennent pas intelligentes si elles ne sont pas prêtes à faire face aux vulnérabilités.
Afin d’attirer l’attention des collectivités publiques et des politiques, Cesar Cerrudo est même allé jusqu’à pirater les systèmes de circulation pour en exposer les failles. L’Argentin sera l’un des intervenants aux Swiss Cyber Security Days. L’événement, qui se déroulera les 27 et 28 février 2019 à Forum Fribourg, réunit les grandes entreprises, les PME, les collectivités publiques et politiques suisses et internationaux pour répondre aux enjeux cybersécuritaires autour de conférences, de tables rondes et de débats.
Les villes du monde entier se sont engagées dans une course effrénée pour devenir intelligente. Or, elles négligent les aspects sécuritaires et se rendent donc plus vulnérables aux cyberattaque. Comment expliquez-vous ce paradoxe? Est-ce de l’inconscience?
Lors de mes premières recherches sur les villes intelligentes, je me suis d’abord intéressé aux systèmes de contrôle du trafic. J’ai tout de suite mis le doigt sur plusieurs problèmes. Ces systèmes sont facilement attaquables parce que les villes ne chiffrent pas leurs technologies. Elles n’utilisent aucun procédé cryptographique pour les protéger. Cela ne m’a pas beaucoup surpris. Les raisons sont multiples. Les villes ont une confiance aveugle dans les fournisseurs de technologies. Ces derniers leur assurent que des tests ont été effectués et que les matériaux disposent de systèmes de sécurité efficace. Mais c’est également aux villes de mener leurs propres tests pour déterminer quels sont les produits les plus performants, non seulement en terme de fonctionnalité, mais également d’un point de vue de la cybersécurité.
La technologie est un marché. L’objectif d’un fournisseur est de commercialiser ses produits le plus vite possible. Une fois que ces technologies sont implémentées, il devient difficile d’y ajouter de la sécurité. Les villes doivent donc prendre le temps nécessaire pour tester et sécuriser ses technologies. Mais aussi mettre en place des procédures claires et strictes dans les mises à jour et en cas d’attaques.
Quels sont les risques générés par les villes intelligentes?
Ils sont multiples. Aujourd’hui, les technologies gèrent le trafic, l’éclairage urbain, le système de transports publics, les caméras de surveillance et beaucoup d’autres services. Nos villes sont truffées de censeurs qui communiquent entre eux par les technologies sans fil. Parce que ces technologies ne sont pas protégées, il est très facile d’y avoir accès. Imaginez les impacts si le système de feux de circulation est hacké. La menace est réelle.
Aux Etats-Unis, les cyberattaques ciblant les villes intelligentes se multiplient. Le dernier exemple en date est celui d’Atlanta, dont l’ensemble des ordinateurs de la municipalité ont été hackés au printemps 2018. Les cybercriminels exigeaient une rançon de 51 000 dollars.
C’est une somme dérisoire compte-tenu des dommages qu’ils auraient pu causer. L’objectif d’un cybercriminel est de maximiser ses profits avec le minimum d’efforts. Atlanta a été victime d’une attaque bas de gamme. Ce qui prouve que ses systèmes sont très vulnérables. L’exemple d’Atlanta est la pointe de l’iceberg. Beaucoup d’autres attaques ont lieu et ne sont pas découvertes. C’est aussi une question de temps avant que des Etats ou des gouvernements n’attaquent des villes.
Pourquoi les fournisseurs de technologies, les municipalités et le grand public en général ne prêtent-ils pas attention à cette menace et ne prennent pas des mesures immédiates?
Ils s'en fichent parce qu'ils ne voient pas le problème. Il y a un gros manque de sensibilisation à l’importance de la cybersécurité. C’est aussi compliqué pour un politicien local de faire voter un budget ou de convaincre la population d’investir dans la cybersécurité. Ce n’est pas quelque chose que vous pouvez montrer. Personne ne pense que c’est important jusqu’à qu’une attaque est perpétrée.
Comment les villes intelligentes peuvent-elles se prémunir contre les attaques informatiques?
Elles ont besoin de sensibilisation pour comprendre les menaces. Pour tous ses services, la ville intelligente doit mettre en place toute une infrastructure permettant d’auditer ses technologies et leurs fonctionnalités. Elles doivent être prêtes à répondre aux cyberattaques comme elles sont prêtes à gérer une catastrophe naturelle. La cybersécurité est un processus continu qui requiert des mises à jour et des ajustements. Ce n’est pas juste une solution que l’on implémente.
>>> Plus d'infos sur les Swiss Cyber Security Days