"S'il y a bien quelque chose de constant, c'est le changement." La maxime est particulièrement vraie en matière de progrès technologique. Nombreuses sont les technologies qui offrent de nouveaux horizons aux entreprises et qui imprègnent la manière dont nous meublons notre quotidien. Toutefois, l'avènement de l'Internet des Objets (IoT), de la Réalité Augmentée (AR), de la 5G, des drones et de l'Intelligence Artificielle (IA) a également des implications sur la sécurité informatique dont les utilisateurs ne sont pas toujours conscients. C'est là une réalité majeure qui mérite toute notre attention.

Internet des Objets: la connectivité, source de nouveaux risques

IDC estime que l'on dénombrera pas moins de 41,6 milliards de dispositifs IoT connectés, dans le monde, d'ici 2025. Ensemble, ils génèreront 79,4 zetta-octets de données. Les dispositifs IoT collectent, transfèrent et traitent des données qui sont obtenues au départ de capteurs intégrés, de processeurs et de matériels. Etant par définition constamment connectés et communiquant entre eux, de nombreuses inquiétudes se sont fait jour au sujet de la protection limitée qui est prévue, par défaut, sur de tels dispositifs IoT. Pensez par exemple au secteur des soins de santé où les glucomètres, automates de délivrance de médicaments et pompes à insuline sont autant d'exemples de dispositifs IoT actifs. Pour ce qui est de la dernière catégorie citée, on a récemment appris qu'un fabricant les avait rappelés en raison de vulnérabilités du produit. Voilà qui est très inquiétant dans la mesure où de tels incidents peuvent directement influencer le bien-être des patients.

La sécurisation des dispositifs IoT au sein de l'environnement d'une entreprise a jusqu'ici représenté un défi. En partie parce qu'elle dépend de contrôles de sécurité traditionnels qui n'offrent qu'une efficacité limitée. Les stratégies de sécurité se doivent d'évoluer en fonction des technologies sous-jacentes et exigent de marier à la fois des contrôles de sécurité classiques et plus nouveaux afin de faire disparaître les inquiétudes au sujet de ce genre d'appareils.

Réalité Augmentée: avons-nous tiré les leçons d'expériences antérieures?

Les entreprises voient surtout dans le recours à l'AR une opportunité d'améliorer les fonctions opérationnelles et l'expérience client. On s'attend à ce que l'usage de l'AR se généralise en 2020. A cet égard, il est recommandé d'adopter une démarche préventive pour la protection de ce type de technologie. Bien que l'AR offre de nombreux avantages aux entreprises, les cyber-criminels peuvent de leur côté se livrer, grâce à l'AR, à de nouvelles attaques qui sont sensiblement différentes des maliciels dont nous sommes aujourd'hui coutumiers.

Les développeurs AR seraient bien inspirés de tirer les leçons de l'introduction de l'IoT. Ces dispositifs ont par exemple la réputation de se prêter difficilement à l'application de correctifs - une source bien réelle d'inquiétude compte tenu du nombre de vulnérabilités découvertes. Les fournisseurs ont intérêt à intégrer la sécurisation - de manière préventive - dans le processus de développement du produit au lieu de ne réagir qu'après que des incidents se soient produits.

5G: les volumes de données vont augmenter très rapidement

Les opérateurs de réseaux mobiles préparent activement leurs futurs services 5G. Le lancement commercial est prévu pour la fin de cette année dans différents pays (malheureusement pas encore en Belgique). Les réseaux 5G autoriseront de nouveaux types d'applis. Ce qui permettra aux utilisateurs de connecter davantage d'appareils, que ce soit au réseau ou entre eux, tandis qu'ils seront encouragés à générer et partager davantage de données personnelles.

La quantité de données collectées constitue l'une des caractéristiques différenciatrices des nouveaux réseaux 5G. Ce volume subit en outre un effet d'accélération exponentielle en raison du grand nombre de dispositifs connectés et de la multitude de capteurs. Votre smartphone deviendra en quelque sorte un super-concentrateur pour tous vos autres dispositifs personnels. Les applis d'e-santé collectent des données sur la santé des utilisateurs, les services de voiture connectée suivent les mouvements des utilisateurs, et les applis de ville intelligente collationnent des informations sur le mode de vie des usagers. Résultat final: une avalanche de données personnelles.

De nombreux experts en sécurité citent la vie privée de l'utilisateur comme principal défi des réseaux 5G. Les différentes parties prenantes devront collaborer pour résoudre ces problèmes. Cela implique que les organisations sectorielles, les opérateurs de réseau et les autorités publiques définissent des directives et des règles afin de garantir la sécurité des communications, des données ainsi que de la vie privée.

Drones: vol sous le radar

Les drones représentent une menace spécifique. Grâce à leur liberté de mouvement, ils peuvent avoir physiquement accès à des endroits classés "zone interdite". Ce problème a notamment été mis en lumière lorsque des drones ont survolé illégalement des aéroports, des sites officiels et d'autres endroits dont le survol est interdit, souvent afin de prendre des photos ou de réaliser des vidéos. En alliant cette capacité à des vecteurs d'attaque existants, les drones peuvent s'avérer un instrument étonnamment efficace tant à des fins de reconnaissance que d'infiltration.

Ils ne sont pas très onéreux et sont relativement faciles à utiliser, ce qui permet aux cyber-criminels d'y avoir recours aisément pour procéder à des observations, pour collecter des données et pour perturber les réseaux. Pour y faire face, des services spécifiques dédiés à la sécurisation des drones sont en passe d'être élaborés afin d'aider les entreprises à réduire les risques de sécurité qui s'y rattachent.

Le principal obstacle, toutefois, en matière de sécurisation des drones, demeure actuellement un manque de prise de conscience des menaces qu'ils représentent. Nous supposons que la situation s'améliorera grâce, notamment, à un regain d'intérêt dans les médias. Les chercheurs de Check Point ont par exemple découvert une série de vulnérabilités potentielles au niveau du forum en-ligne de DJI, un important fournisseur de drones. La vulnérabilité pouvait permettre à un pirate d'accéder à des données qui étaient générées pendant les vols.

Intelligence Artificielle: les premiers signaux sont positifs

L'un des défis des outils de protection traditionnels est la charge administrative qu'ils impliquent, tant pour leur implémentation que pour leur gestion: il faut définir une stratégie, assurer la surveillance, effectuer la maintenance et, bien entendu, réagir aux alertes.

L'IA peut procurer de très importants avantages en la matière. Nombreux sont ceux qui anticipent un avenir où les outils intelligents automatiseront non seulement ces tâches manuelles intensives mais où on pourra utiliser les nouvelles perspectives dégagées pour détecter des choses qu'un opérateur humain risque d'avoir loupées.

Alors que les équipes de sécurité commencent à exploiter ces potentiels, les cyber-criminels utilisent eux aussi des outils pilotés par l'IA afin de procéder à des attaques toujours plus sophistiquées. A l'aide de la technologie d'apprentissage automatique (machine learning), les cyber-criminels peuvent par exemple rédiger des messages encore plus accrocheurs dans le cadre d'une campagne d'hameçonnage. Le style et le contenu peuvent être adaptés à chaque victime individuelle, ce qui augmente les chances que chaque message atteigne son objectif.

En dépit des perspectives optimistes qui ont cours en matière d'IA, les entreprises auraient tout intérêt à ne pas négliger trop vite les traditionnels contrôles de sécurité. Les experts conseillent d'utiliser les solutions IA de manière sélective, en complément des mesures de protection existantes.

Même si chacun de ces progrès technologiques peut, à l'évidence, procurer des avantages considérables, tant pour les entreprises que pour les particuliers, un certain nombre de risques doivent encore être examinés. Lorsqu'une technologie disruptive fait son apparition sur le marché, la sécurité est souvent négligée au bénéfice d'un lancement plus rapide du produit. En tirant les leçons du passé, par exemple l'arrivée des équipements mobiles et du "cloud computing", les premiers adeptes de la nouvelle technologie seront en mesure de réduire sensiblement le risque de voir leurs investissements les confronter à de désagréables surprises.

Christof Jacques, ingénieur Sécurité principal chez Check Point Software Technologies