Éditorial N°13 – Smart city : Innovations et sécurité

Promis à un bel avenir, le concept de smart city est devenu une course à l’innovation, dans laquelle les municipalités tentent de rivaliser : connexion des équipements (lampadaires, feux tricolores, bornes de chargement, etc), création de quartiers intelligents, meilleure gestion de l’environnement (ville zéro-déchet) sont autant de nouveaux attributs qui misent avant tout sur le confort du citoyen. Si certains pays sont plus avancés que d’autres, notamment les capitales du nord de l’Europe (Copenhague, Stockholm, Oslo) et les villes asiatiques (Shanghai, Songdo, Tokyo, Yokohama), l’hyper-connexion créée un certain déséquilibre : en effet, les progrès induits par les nouvelles technologies ne doivent pas faire occulter celui des risques informatiques. Car toute innovation a son côté obscur. La ville intelligente est souvent conçue comme un réseau géant capable d’espionner chaque individu (c’est déjà le cas dans certains pays…).

Prenons le cas de Singapour qui a poussé à son paroxysme le concept de centralisation, en partie grâce à son statut, qui ne compte qu’un niveau de gouvernance et à son régime semi-autoritaire à parti unique, où plus de 80% de la population vit dans des logements détenus par le public, rappelle la CNIL. Même dans les pays ultraconnectés, la révolte monte. « À Songdo, les habitants commencent à se déconnecter car ils se sentent épiés en permanence », témoigne Clotilde Cazamajour, associée au cabinet d’avocats Urbanlaw. Par ailleurs, alors que les villes intelligentes sont perçues par leurs promoteurs comme un outil compétitif pour attirer les entreprises, en quoi ces villes pourront-elles se diversifier sachant qu’elles utiliseront les mêmes technologies de l’information que ce soit à Oslo, Amsterdam, Dijon ou Songdo. Á cette vision quelque peu effrayante à laquelle s’ajoutent l’hyperconnexion et les problématiques que cela entraîne. La ville connectée est devenue une porte ouverte aux cyberattaques car les vulnérabilités de ces équipements sont nombreuses : absence de chiffrement, manque de cloisonnement, systèmes mal configurés, listes de mots de passe en partage sur le réseau, mots de passe triviaux sur certains comptes locaux ou comptes de domaine, systèmes obsolètes et vulnérables, etc.

En 2016, Denis Legezo, chercheur chez Kaspersky Lab, avait mené une étude sur les capteurs de trafic routier à Moscou. Il avait développé un scanner lui permettant de se connecter par Bluetooth aux capteurs. Il avait pu récupérer des informations sur la circulation et même leur envoyer différentes commandes. De son côté, le chercheur en sécurité Sébastien Dudek, de la société Synacktiv, a présenté lors de la conférence Le Hack 2019 une analyse des bornes de recharge pour voitures électriques. Chaque borne forme, avec les voitures qui sont branchées sur elle, un réseau local CPL. En théorie, les communications au sein de chaque réseau de bornes sont bien sécurisées, grâce au chiffrement AES. Mais en réalité, il existe dans la procédure d’association une faille de design qui permet de collecter les clés de chiffrement AES de n’importe quelle borne, et donc de s’y connecter. Le risque de cette faille, c’est qu’un pirate pourrait collecter les données de session échangées au sein d’un réseau de bornes. Il pourrait également tenter d’attaquer la borne elle-même et, par l’intermédiaire d’un service vulnérable ou mal configuré, remonter au réseau de l’exploitant.

Ces tentatives de piratages illustrent parfaitement le caractère manichéen de l’hyper-connexion dans les métropoles. Demain, c’est le piratage de l’intelligence artificielle qu’il faut craindre. De nombreux exemples ont montré combien il est facile de la duper, par exemple en modifiant des panneaux de signalisation… A ces risques de piratages informatiques s’ajoute la problématique des données personnelles. L’explosion du Big Data augmente leur récolte parfois « abusive » : à titre d’exemple les compteurs communicants Linky, qui équiperont environ 35 millions de foyers d’ici à 2021, sont particulièrement intrusifs puisqu’ils permettent d’établir minute par minute l’emploi du temps de chaque foyer. Mieux : grâce à la « signature électronique » de chaque appareil, Enedis (ex-ERDF) est en mesure de connaître la marque et la consommation de votre lave-linge.

Étant donné l’évolution constante des nouvelles technologies au sein des villes, il est fort à parier que les futures cyberattaques prendront des aspects inédits. Face à ce constat, l’ensemble des parties prenantes doit se concerter afin de prendre les mesures adéquates pour limiter les risques. La législation mise en place peut déjà servir de cadre réglementaire dans la condamnation des actes de piratages informatiques : RGPD, Cybersecurity Act, directive Network and Information Security (NIS), etc.