L’informatique est partout, la cyber sécurité nulle part

Combien de fois utilisez-vous un système informatique dans une journée ? Facile, une ou deux fois, pour relever vos e-mails et rechercher une vidéo de chats sur internet. La réalité est bien au-delà, c’est ce que vous allez découvrir. Et si je vous dis que tous ces systèmes sont facilement piratables, et qu’avec les objets connectés à internet (ou « IoT », pour Internet of Things), ce seront bientôt votre frigo ou votre porte d’entrée qui pourront se retourner contre vous… vous ne me croyez toujours pas ? Lisez ce qui suit.

bebe-avec-chapeau-pirate

Tic-tac… alors, combien de fois utilisez-vous un système informatique dans une journée ? Prenons une journée type :

  1. vous vous réveillez grâce à votre smartphone, synchronisé sur l’horloge atomique
  2. vous allumez la lumière grâce au réseau électrique, dont la consommation est régulée par un système informatique
  3. petit déjeuner obtenu grâce aux courses en ligne sur un drive
  4. un coup d’oeil vite fait sur les informations grâce à la télévision numérique
  5. départ pour le travail via un ascenseur régi par un système informatisé
  6. une petite halte au distributeur automatique de billets
  7. le métro grâce à un passe magnétique… ou bien la voiture, dont toutes les commandes sont contrôlées par un ordinateur de bord !
  8. qu’on soit en métro ou en voiture, les feux sont contrôlés par un système de contrôle informatisé
  9. arrivée au travail : vous ouvrez la porte grâce à un système de passe magnétique, ou un système biométrique (empreintes digitales, réseau veineux…)
  10. la réceptionniste vous signale qu’un visiteur vous attend, qu’elle a dûment enregistré dans le système d’information de la société
  11. direction votre ordinateur pour vérifier vos e-mails
  12. éventuellement quelques opérations sur le système financier
  13. vous recevez un coup de fil via le téléphone sur IP
  14. midi arrive, direction la sandwicherie où vous payez avec une carte ticket restaurant dématérialisée
  15. impôts, réservation de billets d’avion, salaires, aéroport, police nationale… les exemples sont sans fin

La digitalisation de la société est une réalité. Mais est-ce vraiment un sujet de préoccupation ? Oui, car la plupart de ces systèmes existent depuis des années, et ont été connectés à internet sans aucun questionnement sur la sécurité de systèmes développés il y a un demi-siècle.

Pire, ils sont parfois conçus depuis zéro avec des failles inhérentes ! C’est par exemple le cas de la technologie NFC développée dans les années 2000, qui a été appliquée telle quelle à la carte bancaire, technologie des années 1970.

Cartes bancaires : zéro sécurité grâce au NFC

Jusqu’à la fin des années 1970, en France, les paiements par carte se font via une simple bande magnétique. Ce système est peu sécurisé, puisque toutes les informations (numéro de la carte, date d’expiration…) sont lisibles en clair avec un lecteur de bande magnétique. Les fraudes sont donc nombreuses, et pour lutter contre elles, les banques doivent investir dans des procédures de contrôle assez lourdes.

Le Français Roland Moreno révolutionne le domaine de la monétique en inventant la carte à puce en 1974. Le microprocesseur intégré à la carte permet un triple niveau de sécurisation : via la saisie d’un code personnel, le chiffrement des informations et le chiffrement des transactions. La France fait office de précurseur, alors que les Etats-Unis par exemple conservent une solution basée sur une piste magnétique, plus facile à falsifier, mais déjà largement utilisée dans le pays à l’époque. L’adoption de la carte à puce en Europe permet de diminuer les fraudes et de limiter les coûteux moyens mis en oeuvre par les banques pour les contrer.

Avance rapide jusqu’aux années 2000… Internet a fait sa révolution, le bluetooth et le wifi se diffusent, le NFC fait son apparition. NFC ? Oui, comme Near Field Communication, ou communication en champ proche en français. Pour faire simple, un lecteur émet un champ magnétique qui lui permet de lire les informations stockées dans une puce équipée d’une antenne radio et qui passe à proximité. L’exemple le plus connu ? La carte Navigo pour les transports en Ile-de-France.

borne-validation-navigo-metro

Au GIE Cartes Bancaires, qui gère désormais l’évolution de la carte à puce, on se dit que c’est quand même une bonne idée cette histoire de NFC. Le paiement sans contact via NFC permettrait de simplifier les micro-paiements de la vie de tous les jours (baguette de pain, café, journal…).

Ils ont donc l’idée de génie d’ajouter une antenne NFC sur les cartes à puce, qui envoie donc à distance toutes les infos de la carte, via le protocole de communication des cartes bancaires. Il s’agit du protocole EMV qui, rappelons-le, a été développé dans les années 70 : Mao était toujours vivant, Robert de Niro tournait Taxi Driver, Internet n’existait pas et un micro-ordinateur coûtait 15000 francs.

Quel est le problème ? Là où la carte à puce requérait la saisie d’un code confidentiel à 4 chiffres pour commencer à diffuser le nom du porteur et le numéro de la carte, l’antenne NFC diffuse ces informations à qui veut les lire dans les environs. Et ce peut être beaucoup de monde, de nos jours où tous les smartphones sont équipés d’un lecteur NFC. Numéro de carte à 16 chiffres, type et date d’expiration, et les 20 dernières transactions avec date et montant : ce sont les informations qui sont comme tatouées sur votre visage lorsque vous vous promenez avec votre carte de crédit NFC en poche.

poche-jean-cartes-credit

Que nenni, réplique le GIE Cartes Bancaires, qui décidément vit beaucoup dans le passé. Car la portée du NFC est selon eux de 10cm, ce qui réduirait le risque. Oui, mais… en 2012, un ingénieur de British Telecom parvient à capter les informations diffusées en NFC à 15m de distance. Concrètement, cela signifie que vous ne devriez jamais avoir votre carte de crédit équipée du NFC à moins de 15m de tout individu. Prendre le métro dans ces conditions va devenir un vrai challenge, n’est-ce pas ?

Le risque est tel, que la CNIL elle-même (la Commission nationale de l’informatique et des libertés) s’est alertée de ce manque de sécurisation du NFC et a demandé en 2012 que soient supprimés le nom du titulaire et la date d’expiration des cartes.

Compte tenu des implications politiques (s’agissant d’une technologie où la France est à la pointe) et financières (car le micro-paiement par carte enlèverait la nécessité de gérer l’argent liquide, qui requière beaucoup de main d’oeuvre), la CNIL ne s’est pas opposée tout net au NFC sur les cartes bancaires… mais a exigé que les banques garantissent la désactivation du NFC sur les cartes bancaires des utilisateurs qui en font la demande. Vous ne me croyez pas ? Voici le lien sur le site de la CNIL.

D’où vient cette monumentale erreur ? L’implémentation du NFC sur les cartes bancaires s’est faite au mépris de toutes les règles de sécurité informatiques, par ignorance ou pire, par mésestimation du risque.

Vous me direz qu’il suffit de demander la désactivation du NFC sur sa carte de crédit, puisque la CNIL a obtenu cette condition de haute lutte. Oui, mais et après ? Si on se projette un peu dans le futur, on peut par exemple imaginer que les caisses de supermarché disparaissent : il suffira de passer avec son chariot près d’une borne radio, qui identifiera tous les produits du caddie via des puces intégrées à leurs emballages, et débitera le compte associé à la personne identifiée via reconnaissance faciale. Elégant, n’est-ce pas ? Mais tout reposera là encore sur de complexes infrastructures informatiques : que se passera-t-il si l’antenne ou la reconnaissance vidéo est piratée car des règles de sécurité auront été sciemment ignorées ?

Mais il ne s’agit là que d’argent, vous pourriez estimer que c’est bien fait et que nous assisterons peut-être simplement à une remise à zéro du système financier mondial, un peu comme ce que décrit le film Fight Club. Et si je vous disais qu’il pourrait également en aller de votre vie ?

Les hackers peuvent pirater votre voiture !

Avez-vous remarqué qu’il est devenu impossible pour votre garagiste d’analyser les problèmes de votre voiture en mettant simplement les mains dans le cambouis ? Oui, car toutes les voitures les plus récentes requièrent désormais l’utilisation de la valise. Savez-vous que cet objet mystique cache un risque bien plus grand que juste ne plus maîtriser votre vidange d’huile ?

En 2015, un journaliste du magazine américain Wired a accepté de se faire pirater sa voiture par deux hackers, mais sans savoir en quoi consisterait le piratage. Pirater une voiture ? Impossible ! vous dites-vous. Une voiture, c’est dans la vraie vie, c’est du concret, du réel : ce n’est pas de l’informatique.

jeep-fosse-accident-wired

Il est pourtant devenu possible de connecter un smartphone à sa voiture, afin de pouvoir téléphoner en parlant à son tableau de bord, façon K2000 (la série avec David Hasselhoff, pour les plus jeunes). En exploitant une faille dans cette connexion, les deux pirates ont pu mettre en route les essuie-glaces et la ventilation, changer les stations de radio et bloquer l’accélérateur. Tout cela à plus de 15km de distance, et alors que le journaliste roulait à plus de 100km/h.

Mais il y a mieux : en arrivant sur le parking de Wired, qui était presque désert et permettait donc d’expérimenter sans danger, le journaliste perd le contrôle de toutes les commandes. Le volant est dirigé à distance, les loquets des portières sont fermés et alors que la voiture arrive au bord d’un fossé, les freins sont coupés. La voiture termine sa course dans le fossé.

Quelle est l’erreur ? C’est encore une fois d’avoir connecté des voitures directement à un réseau (cellulaire, ici) sans avoir pensé à ségréger les deux systèmes informatiques : accessoires d’une part (téléphone, commande à la voix, etc.) et équipements de sécurité (volant, freins, etc.). Un seul système informatique gère l’intégralité des commandes, et une seule faille permet de diriger la voiture dans son ensemble.

Peu probable que ce problème survienne dans la vie réelle, me direz-vous ? Chrysler a pourtant rappelé 1,4 millions de véhicules des marques Jeep, Dodge et Chrysler… De son côté, Volkswagen a reconnu une faille dans les clés de contact communiquant par radio avec le système central d’ouverture des portes à distance. L’algorithme de cryptographie Hitag2, conçu en 1995, est toujours utilisé dans les voitures actuelles. En informatique, une telle période de temps revient à utiliser des boucliers en bois face à un bazooka.

Encore une fois, projetons-nous un peu : avec l’avènement des voitures autonomes, il n’y aura même plus de commande physique (frein à main par exemple) dans les voitures. Que se passera-t-il si un pirate prend le contrôle à distance d’une voiture ou même d’un bus, et la lance sur la foule ?

On étudie également la possibilité de déployer l’accès à internet dans les avions, pour le plaisir des passagers. Sachant que le cycle de vie d’un avion est de 30 à 50 ans (pour amortir son coût de développement), on verra donc cohabiter des hackers d’une vingtaine d’années avec des systèmes informatiques conçus trente ans avant leur naissance !

Les pirates informatiques en veulent donc à votre argent et à votre vie. Si vous aussi vous trouvez ces exemples préoccupants, accrochez-vous car vous n’avez pas encore lu le pire.

Le nucléaire est exposé aux attaques informatiques

En 2010, les Etats-Unis et Israël ont lancé une attaque coordonnée contre l’usine nucléaire de Natanz en Iran, afin de ralentir le programme nucléaire du pays. Et tout cela, sans tirer un seul coup de feu !

centrale-nucleaire-cheminee-vapeur

L’usine de Natanz abrite 4700 centrifugeuses qui séparent les isotopes de l’uranium afin de produire de l’uranium enrichi. Les pirates ont développé un virus appelé Stuxnet, qui affectait les ordinateurs contrôlant la fréquence de rotation des moteurs des centrifugeuses. En accélérant leur vitesse pour de courts intervalles pendant des mois, les moteurs ont chauffé, ce qui a généré des pannes, voire des explosions. En tout, ce sont 800 centrifugeuses qui ont été mises hors d’état de fonctionner.

Les failles utilisées étaient multiples : au niveau du système d’exploitation, au niveau des applications (les mots de passe par défaut n’avaient pas été changés), et enfin au niveau utilisateur. Car, difficulté supplémentaire dans cette attaque : l’usine de Natanz n’est pas connectée à internet ! C’est donc un ingénieur de l’usine qui a ramené le virus de chez lui, via une clé USB infectée à son insu.

C’est en Iran me direz-vous, c’est loin ! D’une part, pas vraiment, car le nucléaire ne connaît pas de frontière : le nuage nucléaire de Tchernobyl avait eu des retombées radioactives jusqu’en Espagne, distante de 3000 km. D’autre part, le fournisseur des systèmes de contrôle de Natanz, Siemens, a indiqué après analyse que le virus avait également été retrouvé au sein de 5 systèmes industriels localisés en Allemagne.

Le parc nucléaire français, conçu dans les années 1960, est-il à l’abri d’une telle attaque ? Bien sûr que non. D’abord, la faille « utilisateur » est la même en France qu’en Iran. Quant aux systèmes informatiques des centrales nucléaires françaises, est-il crédible de penser qu’ils n’ont pas évolué depuis les années 1960 et fonctionnent encore avec des lampes et non des microprocesseurs ? Non là encore. Au fur et à mesure de leur vieillissement, les systèmes ont été remplacés, et aujourd’hui les centrales nucléaires françaises sont équipées comme vous et moi d’ordinateurs récents.

Sont-ils pour autant connectés à internet ? Oui, car dans les milieux industriels, les systèmes de contrôle sont vendus par des prestataires : Siemens, Rockwell Automation… De nos jours, pour des raisons de coûts et de facilité d’intervention, ces sous-traitants ne se déplacent plus pour analyser les problèmes informatiques sur sites. Les prestataires interviennent à distance, via un VPN. Il leur faut donc un accès extérieur. Par internet.

Un crash informatique peut-il nous ramener au Moyen-Age ?

Pour faire court : oui. Inquiétant, n’est-ce pas ?

La digitalisation croissante de notre société simplifie nos modes de vie, mais elle implique aussi de gros risques pour la sécurité de chacun d’entre nous.

La sécurité informatique n’est pas un monopole détenu par les personnes qui travaillent dans l’informatique, bien au contraire. Chacun doit être conscient du risque, et agir pour s’en prémunir.

Gardons le contact !