Éditorial N°8 – 2019 : vers une explosion de cyberattaques IoT ?

Outre les sempiternelles attaques DDoS lancées à partir de botnets IoT et la compromission de caméras connectées, la découverte de nouvelles failles toujours plus critiques ne fait que confirmer l’échec de la sécurité des objets connectés. Tous les secteurs sont concernés, de la domotique à la santé connectée en passant par les systèmes industriels.  C’est ainsi que plusieurs failles de sécurité sur des systèmes de missiles balistiques utilisés comme moyen de défense en cas d’attaque nucléaire, ont été découvertes par le ministère de la Défense américain. Certaines dataient de 1990… Dans le milieu médical, entre le piratage d’implants connectés, le vol de données médicales et les menaces de ransomware, la santé connectée est devenue un champ de bataille informatique comme les autres. Après des décennies à développer la santé connectée, les hôpitaux américains possède désormais en moyenne 15 objets connectés par chambre, le plus souvent des pompes à perfusion et des systèmes de surveillance de l’état de santé du patient. Or, tous ces dispositifs sont pour la plupart vulnérables aux piratages.  En 2018, dix ans après la découverte des premières vulnérabilités, le hack biomédical a son stand au DEFCON, et les démonstrations sont spectaculaires…  L’année 2018 n’a semblé qu’un avant-goût de ce qui pourrait arriver en 2019, les attaquants développant de nouvelles techniques de piratages. A l’avenir, on peut redouter que des systèmes se propagent de façon autonome, en mode déconnecté. Le pire adviendrait si un attaquant venait à exploiter une faille « zero day » sur des systèmes connectés. Les possibilités de piratages d’objets connectés semblent illimitées de par leur manque de sécurité, la facilité avec laquelle ils sont compromis et leur développement croissant dans tous les secteurs d’activités. Concernant l’avenir, les scénarios redoutés sont multiples… d’autant que la plupart d’entre eux se sont déjà réalisés. Il ne serait guère étonnant d’apprendre qu’un réseau de voitures connectées ait servi à mener des attaques DDoS ou qu’une usine de traitement d’eaux usées subisse un ransomware.