Notre hyperconnexion nous rendrait-elle vulnérable ?

En 2015, le nombre de cyberattaques aurait augmenté, dans le monde, de 38%. Une tendance qui devrait se poursuivre avec la multiplication des objets et supports connectés, notre téléphone en premier, et demain, nos villes. Plus on est connecté, plus on est vulnérable. Blaise Mao, rédacteur en chef du magazine Usbek & Rica a mené l’enquête, avec Thomas Saintourens, dans « Cyberfragiles – Enquête sur les dangers de nos vies connectées » (éd. Tallandier).

Entretien initialement diffusé dans l'émission L'Atelier numérique sur BFMBusiness.

Entreprises, domiciles et peut-être les villes pourraient être la cible de cyberattaques. Et le premier point d’entrée, expliquez-vous, serait le téléphone mobile.

Blaise Mao : Le mobile est le premier des objets connectés. On n’y pense pas en tant qu’objet connecté, mais le smartphone l’est bien. Et c'est une des cibles principales, aujourd'hui, des cyberattaques. C’est une menace exponentielle. Dans ce livre, on avait envie de comprendre qui étaient les pirates, d’où viennent les attaques, quelle forme, elles prennent.

L’argent est évidemment le premier motif, à savoir revendre de la donnée personnelle mais aussi nuire à la e-réputation d’une personne. Nous voulions expliquer aussi comment nous citoyens, on peut entrer dans un nouvel âge numérique. 2007-2015 représente un premier âge numérique, plutôt confortable. On était tous fascinés par tous ces appareils, et toutes les possibilités qui s’offraient. On a un rapport quasi-magique à la technologie. Pour autant, on essaie d’inviter les gens à reprendre la main sur leurs vies numériques, donc, de se réapproprier la technologie.

« Le cyber-risque est le seul risque qui puisse empêcher de dormir », Henri de Castries, ex-patron d’Axa, racontez-vous. Les entreprises sont-elles aujourd’hui tout à fait parées ?

Elles sont en partie parées. Mais la révolution numérique est tellement rapide et la diversité des formes d’attaque, tellement importante qu’il est très difficile d’avoir une réponse à la hauteur de la menace.

Un exemple : il y a 20 ans, une PME avait 10 à 20 postes de travail. C’était assez simple de paramétrer le système informatique d’une petite entreprise. On savait comment la défendre. Aujourd'hui en fait, on travaille dans notre lit le soir ; on travaille sur notre téléphone personnel. On a aussi un téléphone professionnel. On fait transiter des données personnelles.

En fait, les points d’entrée sont beaucoup plus nombreux.

Les points d’entrée sont multiples. Ce qui rend les données sensibles de l’entreprise, beaucoup plus vulnérables. La grande tendance sur l’année 2015 a été ce qu’on appelle le ransomware, c'est-à-dire la demande de rançon. Des groupes de pirates ciblent une entreprise aux données sensibles et réussissent à rentrer dans le système, souvent par l’envoi d’un mail avec un lien malveillant. Les pirates ont alors accès aux données. Ils vont les crypter, les chiffrer, puis prévenir l’entreprise et exiger une rançon, le plus souvent en bitcoin, pour ne pas laisser de trace. Ils renvoient ensuite une clé USB de déchiffrement. Il y a un vrai business model de la fraude. Et ce qui est frappant est qu’ils sont toujours « réglos » dans leur manière de frauder.

Vous le disiez, on utilise de plus en plus nos propres objets. On les apporte au bureau, avant de les utiliser chez  nous. La frontière entre entreprise et maisons est poreuse. Nos objets pourraient-ils se révéler des mouchards à domicile ?

Non, ce n'est pas un fantasme. Nous avons appelé notre chapitre sur les objets connectés, « mouchards à domicile ». En fait, on est train d’adopter plein de petites machines qui sont censées nous rendre des services très pratiques, mais qui, en fait, sont potentiellement des ordinateurs. Un thermostat smart est un ordinateur. Un compteur Linky, aussi. Aux Etats-Unis, il y a eu le cas d’un baby phone qui avait été hacké. La caméra se mettait à insulter le bébé. Il y a quelques anecdotes assez effrayantes. Il y a des moteurs de recherche spécialisés, qui montrent tous les objets connectés dont les flux sont à libre accès. Selon HP, sept objets connectés sur 10, parmi les plus vendus, présentent des failles.

Nous appelons à un petit peu plus de méfiance. On peut imaginer que d’ici 5-10 ans, des assureurs refuseront de rembourser des personnes qui auront eu un mot de passe du type 123456 ou qui n’auront pas pris les précautions minimales nécessaires pour bien se protéger.

On  y revient, mais ne serait-ce pas d'abord le smartphone qui serait le premier appareil à protéger de ces attaques ?

Si, bien sûr. La fréquence des attaques sur les smartphones est à peu près de plus 400% dans le monde, par trimestre. C’est un ordre d’idée. Maintenant que le smartphone s’est totalement démocratisé, il est aujourd'hui au cœur des attaques. Moins d’une personne sur deux met un code PIN de sécurisation, à l’ouverture de son téléphone. C'est la première porte qu’on peut refermer facilement. Ajouté à ça le fait que des hackers sont capables, par exemple, d’actionner un micro sans que ça s’affiche sur l’appareil. Typiquement, vous êtes en plein réunion, en train de négocier une fusion acquisition. Et d’un coup, la personne est capable d’enregistrer ce qui se dit, et de potentiellement, revendre ces données-là sur Internet. C’est déjà arrivé.

---

Pour approfondir le sujet