Comments on Typologie des risques de l'Internet des Objets

JML (2018-11-07T20:15:27Z)

Excellente entrée, merci !

« mettant possiblement en danger la survie même de l'humanité » Non, pas « de l'humanité », plutôt « d'une civilisation technologiquement avancée ». Il est intéressant que l'on ait tendance à assimiler les deux. Homo sapiens serait difficile à éradiquer de la planète. (Les scénarios d'emballement climatique menant à une Terre-Vénus sont, je crois, écartés.)

Une manière plus consensuelle de présenter le problème des voitures autonomes serait de remarquer que 1) les pouvoirs publics n'interdisent pas aux voitures piratables (pilotées par des humains) de circuler, malgré le danger potentiel 2) l'avènement des voitures autonomes ne s'accompagne pas, en apparence au moins, de mesures quant à leur sécurité informatique 3) ceci donne l'impression que l'humanité s'apprête à déployer des flottes de bombes ambulantes en toute insouciance et ne fera rien tant qu'une attaque d'envergure n'aura pas eu lieu.
Les paris sont ouverts concernant la validité du point 3. On peut imaginer que les constructeurs feront les investissements pour isoler les circuits critiques des autres fonctions que leurs véhicules seront plus au point ? Je suis d'accord que le point 1 n'est pas de bon augure.

Ruxor (2018-09-16T10:44:55Z)

@orionbelt: Merci de m'avoir signalé. J'ai fait un ajout dans l'entrée elle-même.

orionbelt (2018-09-15T21:49:49Z)

<URL: https://www.rtbf.be/info/medias/detail_faut-il-se-mefier-des-objets-connectes?id=10019186 >

Je vois plusieurs trous aux contre-arguments présentés dans l'article, peut-être la chance de donner suite de ta part ? :)

Koko90 (2018-09-14T10:40:33Z)

Le principal problème que j'ai avec les objets connectés est la perte du contrôle. Sur un PC on est root / administrateur. On est omnipotent.

Sur tout le reste (console de salon, téléphone portable, frigidaire, ampoule), on est un utilisateur jouant dans un sandbox. Le constructeur peut faire ce qu'il veut dans votre dos sans se justifier. Quelque part la machine est à lui.

Toute tentative de rooter quoi que ce soit est illégale (surtout en Europe, aux US au moins ils ont la liste des exceptions de la DMCA).

https://www.theverge.com/2015/10/27/9622066/jailbreak-unlocked-tablet-smart-tvs-dmca-exemption-library-of-congress

Ce qui m’étonne c'est que quand les smarthones ont commencés à apparaître, personne n'a protesté sur le fait qu'on est pas root dessus (en dehors de quelques barbus comme moi, que personne ne peut prendre au sérieux). Du coup, a fortiori, personne ne pensera a le demander pour des ampoules.

Bellon (2018-09-13T14:22:01Z)

Ah les problèmes de sécurité!

Comment faites-vous pour persuader vos proches que, même s'ils n'ont aucune information sensible sur leurs appareils (à ce qu'ils disent), il n'est pas bon de les laisser sans un minimum de protection (mots de passe pas totalement idiot, clé de SIM autre que le défaut de l'opérateur) ? Moi, je n'y arrive pas.

Sinon, contre l'obsolescence logicielle, j'aimerais bien l'idée que tout logiciel diffusé ait obligatoirement ses sources déposées (et de vrais sources, pas le produit d'un compilateur vers un langage intermédiaire).
De cette façon, les sources deviennent automatiquement du domaine public si le producteur disparaît, ou s'il manque à diffuser dans un délai raisonnable des correctifs pour un trou de sécurité. Le dépôt préalable des sources est peut-être difficile à formaliser: comment assurer qu'elles soient réellement disponibles en temps voulu sans les rendre accessibles avant le moment légal? Néanmoins, l'idée que tout producteur de logiciel doive soit le maintenir, soit le rendre public, me paraît une piste à suivre.

Mais si la publication des sources révèlent les backdoors prévus par le constructeur, je ne sais pas si un mécanisme aussi simple serait utile.

Ruxor (2018-09-13T11:47:40Z)

@Vicnent: Mais des gens ONT réussi à hacker des voitures : <URL: https://blog.trendmicro.com/trendlabs-security-intelligence/connected-car-hack/ > (cf. ma réponse à "empty nickname" pour une explication de pourquoi c'était un peu inévitable). Pourquoi pas les avions ? Je ne sais pas exactement. Sans doute parce que notre société dans son ensemble est beaucoup moins tolérante aux morts dus à l'aviation qu'aux morts dus à l'automobile (il y a plusieurs dizaines de milliers de fois plus de morts dus à la circulation automobile et pourtant on ne relâche pas la pression sur les constructeurs d'avions). Sans doute parce que l'industrie de l'aviation a acquis une attitude de saine méfiance vis-à-vis du logiciel et de ses failles (et de conservatisme prudent en général) que l'industrie automobile n'a pas. Toujours est-il que ce n'est pas un conditionnel : les voitures actuelles SONT des passoires à sécurité, les avions ne le sont pas.

Vicnent (2018-09-13T08:40:33Z)

et pourquoi personne n'a réussi à hacker un avion et qu'il réussirait pour une voiture ?

Mouton (2018-09-13T07:56:59Z)

Chouette billet !

Il y avait une conf d'un mec de l'ANSSI au lycée il y a 2 ans, et il disait essentiellement les mêmes choses, avec peut-être plus d'exemples.

Par exemple, sur le point "obsolescence par faillite", il citait l'exemple d'aspirateurs de maison qui doivent se connecter à un serveur pour obtenir leurs routes (bon, et ça pose en même temps des tas de problèmes de surveillance).

Pour la surveillance, il parlait de jouets connectés qui répondent à la voix des enfants (et qui sont du coup des micros). Il a évoqué après la conférence le cas des sextoys connectés qui envoyaient des données persos volontairement : https://bgr.com/2017/03/14/smart-sex-toy-we-vibe-vibrator-lawsuit/

Il a finalement expliqué que l'industrie médicale est aujourd'hui assez sensibilisée aux risques de fuites des données personnelles des patient.e.s, mais néglige la possibilité que les objets ne marchent plus (il prenait l'exemple d'une attaque qui permettait de devenir root sur un stérilisateur d'hopital).

Nil (2018-09-13T00:18:53Z)

Ça me fait penser à ce très frais xkcd (https://xkcd.com/2044/), mais surtout à son texte flottant, qui me fait rire :
"All I want is a secure system where it's easy to do anything I want. Is that too much to ask?"

Cigaes (2018-09-12T15:33:22Z)

Puisque tu cherches à faire une typologie, je pense qu'il faudrait vraiment séparer « les objets définitivement cassés […] parce que, par exemple, une mise à jour a échoué » de ceux « parce que le constructeur a fait faillite et arrêté de faire tourner un service vital » : l'un est un problème de négligence et de mauvaise conception, l'autre est un problème d'organisation économique et légale de la distribution.

Destination objet dangereux (2018-09-12T10:02:00Z)

Il faudrait que tu présentes tes cogitations sous forme de tableau - de balance en quelque sorte. Le positif et le négatif de chaque côté.
Car si tu n'insistes que sur le négatif on va t'accuser de parti pris ou d'être un fou furieux !

Moi qui suis un dinosaure en voie d'extinction - je n'ai même pas de téléphone portable - je vois les choses sous l'angle psychologique.

Dans l'art de la guerre Sun Tzu dit bien que l'espionnage - la maîtrise de l'information en termes modernes - est la clef du succès des empires mais que les guerres ne visent pas tant à terrasser l'ennemi qu'à le contrôler.

Si l'internet des objets est ton ennemi intime alors vise plutôt à le circonvenir qu'à l'anéantir !

Ruxor (2018-09-11T22:15:49Z)

@empty nickname: Oh non, ça ne va pas du tout de soi, hélas ! Le constructeur voudra certainement que le système de cartes soit mis à jour en temps réel pour indiquer à la voiture par où il vaut mieux passer, quels itinéraires sont bloqués ou encombrés, etc., et tout ça s'interfacera sans cantonnement sérieux avec le système de pilotage. Le constructeur voudra aussi pouvoir faire passer des mises à jour, c'est déjà le cas sur les Tesla (ploum ploum ploum <URL: https://twitter.com/internetofshit/status/1033823397250301954 >). Et même si le constructeur ne voulait pas tout ça, il y aura forcément des sous-systèmes connectés à Internet, et tous les sous-systèmes sont connectés entre eux, ce qui est un clusterfuck de stupidité au niveau sécurité (<URL: https://blog.trendmicro.com/trendlabs-security-intelligence/connected-car-hack/ >). Déjà je m'inquiétais un peu au sujet de la sécurité des avions en ce domaine (<URL: http://www.madore.org/~david/weblog/d.2015-05-17.2298.html#d.2015-05-17.2298 >), mais je crois que s'agissant des voitures c'est bien naïf d'espérer que ça soit fait correctement.

empty nickname (2018-09-11T21:48:06Z)

« Indépendamment de la possibilité d'une attaque de grande ampleur, je ne comprends pas qu'on envisage sérieusement d'autoriser les voitures autonomes »

Il va de soi que le système de pilotage ne sera pas connecté.

ooten (2018-09-11T19:19:30Z)

@Ruxor : En même temps c'est difficile d'évaluer ces risques et comme pour beaucoup d'autres technologies il y a des risques à leurs utilisation. Ce qui effectivement n'arrange pas les choses c'est qu'on est dans une certaine mesure une technologie de l'immatériel et de la complexité (je ne suis pas trop d'accord avec toi pour dire que "Les programmeurs sont généralement mauvais et mal formés" car dans le monde industriel ce qui compte c'est certes la richesse mais aussi son coût, sa qualité, sa définition, dans quelle condition elle est produite : avec quels process et quel type de management … et donc c'est difficile d'en tirer la conclusion que comme les IoT ne sont pas des produits de qualité et sécurisés, ils le seraient uniquement à cause de la compétence des programmeurs) qui est nouvelle et pour laquelle on n'a donc pas d'expérience : les crash d'avion, de train, de navire et de voiture ont toujours existé et l'amélioration des technologies a consisté entre autre à réduire au maximum ces risques. Je comprends ton inquiétude mais le problème n'est pas seulement technique loin de là. Quand tu prends en exemple le pont qui s'effondre ce n'est pas forcément le technicien qu'il faut mettre en cause mais peut être le décideur qui n'a pas assez investit dans sa rénovation ou sa reconstruction ou qu'il a mal décidé par ailleurs en choisissant par exemple des collaborateurs pas assez efficaces …

Fred le marin (2018-09-11T17:59:58Z)

"Que diable allait-il faire dans cette galère ?"

@Typhon:
Ce serait vraiment moche (et flippant) de se faire canarder par une armée de robots connectés qui mettraient à jour leur firmware en temps réel si besoin…
D'où la chanson de Michel Berger chantée par France Gall dans les années '80 (encore désolé pour cette confiture de nostalgies) :
"Débranche !"
Les normes informatiques en cours ou à venir et les moults aspects "propriétaires" de l'IoT sont aussi effrayants, voire fous (eh oui).

Typhon (2018-09-11T15:18:51Z)

J'ai l'impression que les trois problèmes sont au fond le même problème, qui est la question du contrôle.

Qui contrôle le fonctionnement de l'appareil à l'instant T ?

Qui doit pouvoir le contrôler ?

Quels sont les possibilités concrètes d'exercer ce contrôle ?

Je pense qu'autant les deux premières questions ont des réponses assez évidentes (le propriétaire de l'objet).

La troisième est un petit peu plus compliquée, mais c'est vraiment le problème majeur, parce qu'on sait bien que même si Mme Michu a la possibilité de régler son téléviseur/ampoule/bouteille/foobar connecté, elle le laissera bien souvent dans ses réglages par défauts (le fameux syndrôme du "12:00" clignotant sur les magnétoscope).

Sur les ordinateurs, la mode technique depuis en gros vingt ans a été d'utiliser de moins en moins de commutateurs physiques : plus besoin d'éteindre physiquement l'ordinateur, boutons de contrôle du volume qui disparaissent sur les laptops, et maintenant avec les tablettes c'est le clavier lui-même qui cesse d'être un objet physique pour être un logiciel.

Le problème de ça c'est que ça laisse tout à la merci du logiciel, qui peut se péter après une mise à jour, qui peut se remettre à ses réglages par défaut après une mise à jour, et pour lequel le contrôle qualité a toujours été médiocre, et qui n'est, par défaut, pas contrôlé par l'utilisateur final.

Parmi les propositions de Maciej Cegłowski <URL: http://idlewords.com/six_fixes.htm > en matière de règlementation informatique, il y a l'exigence pure et simple que tout objet connecté puisse être physiquement déconnecté. Je pense que c'est une bonne exigence, parce qu'elle ne néglige pas cet aspect pratique. Même une personne d'une incompétence totale et absolue en informatique peut appuyer sur un bouton physique, et elle pourra appuyer dessus en dépit de toutes les mise à jour logiciel du monde.

<URL: http://idlewords.com/talks/what_happens_next_will_amaze_you.htm > (le contexte complet des six propositions de Cegłowski, qui a pas mal parlé et un peu écrit sur le sujet, cf aussi <URL: http://idlewords.com/talks/robot_armies.htm >)


You can post a comment using the following fields:
Name or nick (mandatory):
Web site URL (optional):
Email address (optional, will not appear):
Identifier phrase (optional, see below):
Attempt to remember the values above?
The comment itself (mandatory):

Optional message for moderator (hidden to others):

Spam protection: please enter below the following signs in reverse order: 140bae


Recent comments