En tant que consommateurs et utilisateurs de la technologie, nous nous focalisons tellement sur les fonctionnalités incroyables de l’Internet des objets (IoT) que nous en oublions souvent de réfléchir aux implications possibles sur notre vie privée et notre sécurité. Les babyphones vidéo peuvent tranquilliser les parents en leur permettant de surveiller à tout moment leurs enfants à distance avec leur smartphone. Mais si le système n’est pas protégé, ils peuvent, sans le savoir, exposer leur progéniture et s’exposer eux-mêmes.
En effet, espionner au hasard des inconnus est aujourd’hui un jeu d’enfant. Il suffit d’un moteur de recherche comme Shodan, ce Google de l’IoT qui, pour mettre en évidence les risques liés à cette technologie, navigue sur le Web et prend des photos des dispositifs non protégés. L’intérieur de nos maisons, nos animaux de compagnie et même nos réfrigérateurs sont accessibles en un seul clic. Certains parents en ont fait l’amère expérience quand un hacker a piraté le dispositif de surveillance de leurs enfants pour crier des insanités aux petits endormis. On ne sera pas surpris d’apprendre qu’au Royaume-Uni, le nombre de plaintes liées à la technologie de l’IoT a augmenté de 2 000 % ces trois dernières années.
Le meilleur des mondes
L’Internet des objets désigne des milliards d’appareils intelligents connectés, qui s’échangent couramment de gros volumes de données concernant nos modes de vie, nos habitudes de travail et nos pratiques de loisirs. « Ils sont censés rendre nos entreprises plus productives et nos existences plus simples, plus saines et plus intelligentes, mais il y a souvent une contrepartie », observe le Professeur Edward Humphreys, animateur du groupe de travail de l’ISO/IEC sur les systèmes de management de la sécurité de l’information. « Nous voulons croire en ces technologies en raison du champ des possibilités qu’elles offrent. Mais nous devons avoir conscience de leurs répercussions sur la sécurité et la confidentialité de nos données. »
Par exemple, dans l’euphorie de l’achat du téléviseur intelligent dernier cri à commande vocale, on peut aisément oublier que cette technologie doit être capable « d’écouter » tout ce qui est dit afin de reconnaître les instructions données. Si tout reste entre vous et votre téléviseur, où est le mal ? Mais le plus souvent, les réseaux de communication qui permettent à ce genre de dispositif d’échanger des informations ne sont ni cryptés ni protégés. « C’est un peu comme si vous laissiez votre porte grande ouverte : n’importe qui peut entrer chez vous à tout moment », souligne M. Humphreys.
Le nœud du problème, c’est que nous supposons, en règle générale, que les entreprises et les législateurs ont tenu compte de ces risques et les ont réglés. Or si les clients ne comprennent pas l’intérêt de la confidentialité des données et ne la réclament pas, les fabricants ne s’en occuperont pas sachant que nos décisions d’achat ne se basent pas sur ce critère, et que, dans le choix de notre webcam, les questions de compatibilité, de prix, voire de design compteront davantage. Une recherche menée par Consumers International montre que l’utilisateur moyen consacre six secondes à la lecture des conditions générales d’utilisation avant de cliquer pour les accepter. Pourquoi donc les entreprises se donneraient-elles du mal ?
« Sur le plan de la législation, ce que nous faisons à notre domicile est rarement aussi bien protégé que les données des entreprises », explique Pete Eisenegger, un expert des questions de consommation qui travaille sur les problématiques de confidentialité à l’échelon européen et international. « Les technologies portable et mobile, par exemple, suivent et surveillent nos moindres mouvements et nos activités, et sont capables de nous localiser à tout moment. » Si nous ajoutons à cela toutes les informations privées que nous fournissons, les photos que nous mettons en ligne et les connexions que nous établissons, dont nous cédons souvent les droits à notre insu, il y a lieu de s’inquiéter. L’analyse des mégadonnées permet d’en savoir beaucoup sur les individus à partir de leurs comportements et de leurs goûts.
Dans un monde hyper-connecté, les enjeux sont énormes. Une expérience récente a montré qu’il était possible de pirater un véhicule en marche par l’intermédiaire de son système de divertissement et de désactiver l’accélérateur. « Les stimulateurs cardiaques électroniques peuvent sauver des vies tant qu’ils sont suffisamment sécurisés pour ne pas être piratés. L’étendue des technologies numériques émergentes qui s’intègrent dans notre quotidien est impressionnante », observe M. Humphreys.
« Nous assistons à l’émergence d’un nouvel ordre mondial basé sur la technologie Internet. Il ne s’agit pas seulement de produits mais de systèmes entiers. » Le défaut de sécurité d’un appareil peut avoir une incidence sur d’autres. En 2013, des pirates informatiques ont volé des millions de numéros de cartes de crédit dans la base de données d’un géant américain de la distribution en accédant à son réseau par le biais du système de chauffage connecté à l’Internet. Les dispositifs vulnérables peuvent être utilisés pour accéder à d’autres. La sécurité de l’IoT est comme un vaccin. Si vous n’êtes pas protégé, vous risquez de contaminer les autres. Plus nous protègerons (ou « vaccinerons ») nos appareils grâce à des techniques de sécurité renforcées, mieux ce sera pour nous tous.
Voilà pourquoi j’insiste autant sur l’importance de recourir à des normes en matière de sécurité et de protection des données », ajoute M. Humphreys. « Nous disposons de solutions pour aborder bon nombre de ces risques et en minimiser les effets, et nous sommes en train d’en élaborer d’autres, mais il faut que les organisations les utilisent. »
Des normes telles que l’ISO/IEC 27001 ou l’ISO/IEC 27002 proposent un langage commun pour traiter des questions de gouvernance, de risques et de conformité liées à la sécurité des données. Les normes ISO/IEC 27031 et ISO/IEC 27035 aident les organisations à réagir efficacement aux attaques informatiques, à les diffuser et à s’en remettre. Il existe également des normes ISO/IEC qui définissent les mécanismes de cryptage et de signature électronique pouvant être intégrés dans des produits et des applications pour protéger les transactions en ligne, l’utilisation des cartes de crédit et les données stockées.
Pour M. Humphreys, les prochaines normes à venir sont celles qui concernent la confidentialité. « Nous nous efforçons d’établir un socle solide de normes pour assurer la protection de nos données dans un univers numérique connecté et pour renforcer la confiance des consommateurs. Nous espérons qu’elles pourront servir à développer des solutions répondant aux défis propres à l’Internet des objets. »
Les consommateurs s’en soucient-ils ?
Le problème se trouve encore aggravé par le fait que beaucoup d’entre nous ont accepté, à contrecœur et parfois de plein gré, de transiger avec le respect de notre vie privée et de notre sécurité pour obtenir ce que nous considérons plus précieux, l’accès à la technologie de pointe. Ces dispositifs sont devenus des incontournables dans notre quotidien. Nos données personnelles représentent-elles un prix trop élevé à payer en échange de ces agréments modernes ?
Penchons-nous sur le comportement des consommateurs en ligne. Ils téléchargent régulièrement des photos d’eux-mêmes et publient des vidéos de leurs enfants, ils partagent leurs convictions politiques, leurs destinations de voyage et leurs adresses de shopping favorites. La question n’est pas tant de savoir s’il est bon de divulguer autant d’informations personnelles, ce choix nous appartient, mais plutôt si nous sommes conscients de ce que cela implique et si nous pouvons contrôler les données qui sont recueillies.
Étant donné qu’il est plus facile, grâce à l’Internet, de suivre et d’identifier les utilisateurs, ces informations peuvent nous mettre en danger si elles tombent entre de mauvaises mains. La sensibilisation à la sécurité sur l’Internet progresse. Une étude de la National Consumers League aux États-Unis révèle que 76 % des jeunes américains sont inquiets des questions de confidentialité et des préjudices que leur activité en ligne pourrait leur causer. Pourtant, rares sont ceux qui font le lien avec l’IoT.
Le comité de l’ISO pour la politique en matière de consommation (ISO/COPOLCO) met en avant ces enjeux dans les priorités de la normalisation. Certes, les consommateurs ne comprennent pas toujours les conséquences d’une sécurité insuffisante, mais il convient néanmoins de les protéger. « La sensibilisation, le comportement et la valeur accordée par les consommateurs aux questions de sécurité et de confidentialité sont des éléments importants du problème que nous devons résoudre », reconnaît Bill Dee, un représentant de l’ISO/COPOLCO. « Le comité vient de terminer un rapport sur les lacunes des normes stratégiques en matière de confidentialité, et nous jugeons prioritaire la prise en compte du respect de la vie privée dès la conception des produits et services achetés ou utilisés par les consommateurs. »
La confidentialité dès la conception
Pour Pete Eisenegger, le fond du problème réside dans le fait que, dès le départ, la plupart des équipements utilisés au quotidien sont commercialisés sans que les questions de confidentialité ou de protection des données n’aient été prises en compte. « Malgré les nombreuses normes internationales que les entreprises peuvent utiliser pour protéger nos données personnelles qu’elles ont collectées, pour plus de sécurité dans l’IoT, nous devons commencer par créer des technologies sécurisées dotées de contrôles de confidentialité efficaces en temps réel. Un changement d’approche de notre part ne fera pas seulement de la sécurité un prérequis, il pourra également rendre les dispositifs de sécurité plus simples à utiliser et à mettre à jour. »
76 % des jeunes américains sont inquiets des questions de confidentialité et des préjudices que leur activité en ligne pourrait leur causer.
Le fait que les concepteurs des technologies de l’IoT soient rarement des experts en matière de sécurité et de confidentialité explique en partie pourquoi les fabricants ne protègent pas les dispositifs qu’ils commercialisent. Comme le fait valoir Pete Eisenegger, « Au lieu d’aborder ces questions après coup dans les applications mises au point, les ingénieurs devraient adopter, au niveau de la conception, des processus privilégiant ces caractéristiques de sécurité et de confidentialité, afin de limiter les vulnérabilités ». Dans l’espoir de faire changer les choses, l’ISO/COPOLCO propose l’élaboration d’une norme sur la confidentialité dans le domaine de la conception numérique des biens et des services.
« Si nous pouvions élaborer un processus de conception intégrant la notion de confidentialité sur le modèle du cycle d’amélioration continue de la norme ISO 9001, comme l’ISO 10377 l’a fait pour la sécurité des produits, nous ferions un grand pas en avant » ajoute M. Eisenegger. « Une telle norme pourrait viser à faciliter le suivi et la protection de nos données, à garantir la confidentialité de l’analyse des mégadonnées et à évaluer les caractéristiques de confidentialité des produits. »
« La question n’est pas tant de savoir si les consommateurs devraient accepter les options par défaut des technologies, produits et services en ce qui concerne la sécurité et la confidentialité, mais bien plutôt de demander clairement ce que les développeurs peuvent faire pour établir la confiance à ce niveau », relève M. Eisenegger. « C’est le nouveau défi pour les normes internationales en matière de sécurité et de confidentialité. Il s’agit de « vacciner » les biens et les services, de protéger nos données confidentielles et de pouvoir maîtriser en temps réel l’utilisation qui peut en être faite. Il s’agit de minimiser la quantité de données collectées par les dispositifs. Il s’agit d’être tenu informé du traitement par des tiers, et de renforcer leur traçabilité et leur responsabilité. »
Si le défi est gagné, une approche similaire pourrait aborder des aspects numériques transversaux comme l’accessibilité, la vulnérabilité et la confidentialité, tout en tenant compte des critères de coût, d’équité et de non-discrimination.
Ainsi, malgré le large éventail de normes de cyber-sécurité à disposition à l’heure actuelle, l’ISO a encore du travail dans le domaine de l’Internet des objets. « La série de normes ISO/IEC 27001 est très utile aux organisations pour assurer la sécurité de nos données une fois qu’elles les ont collectées. Mais nous devons développer des solutions spécialement destinées à s’attaquer au risque soulevé par l’IoT », conclut M. Eisenegger. Les normes sont un moyen efficace d’inscrire ces questions dans les priorités internationales.
On ne peut plus attendre pour agir. Nos foyers, nos activités et nos données personnelles sont désormais irrévocablement interdépendants, et connectés à ceux de milliards d’autres individus grâce aux appareils que nous utilisons quotidiennement. L’Internet des objets a des répercussions sans précédent en termes de confidentialité et de sécurité puisqu’il peut dévoiler sur Internet qui nous sommes et ce que nous faisons. Pour rester à l’abri des regards indiscrets, il faut pouvoir fermer la porte et la verrouiller.
