Le risque de militariser les objets du quotidien

Un engin radio explose à Baalbek, au Liban, le 18 septembre. (Source : Anadolu)

Les récentes attaques au Liban, perpétrées à l'aide de téléavertisseurs et de talkies-walkies chargés d'explosifs, constituent une nouvelle tactique et représentent un défi majeur en matière de sécurité pour tous les pays du monde .

Ce qui rend cette tactique unique, c'est qu'elle ne repose pas sur un sabotage technologique visant l'ennemi. Historiquement, la tactique du cheval de Troie a consisté à exploiter des équipements de communication ou militaires pour ensuite cibler des objectifs précis.

Logiciel ciblant

Les attentats perpétrés au Liban ont suscité la controverse car ils ont utilisé des engins explosifs couramment employés dans la vie civile. Ces attentats ont fait 37 morts, dont deux enfants et plusieurs commandants du Hezbollah, et près de 3 000 blessés.

Des experts en droit international humanitaire ont accusé l'attaque de violer le droit international, car elle n'a pas fait la distinction entre cibles militaires et civiles et a utilisé des engins explosifs non conventionnels interdits, susceptibles de mettre en danger des civils. Parallèlement, des analystes de sécurité ont averti qu'elle pourrait marquer le début d'une nouvelle ère d'« armement » d'objets du quotidien.

Les attaques visant à saboter ou désactiver des objets connectés en corrompant délibérément leur logiciel sont de plus en plus fréquentes. Les fabricants, qui contrôlent le logiciel utilisé par leurs produits pour collecter et traiter les données, disposent de la possibilité d'en modifier les fonctionnalités. Ils peuvent ainsi mettre en œuvre des mesures préventives en limitant intentionnellement les mises à jour logicielles.

Un exemple récent sur le marché est un différend entre un constructeur ferroviaire et une compagnie ferroviaire en Pologne, qui a rendu inutilisables pendant des mois, en 2022, des trains récemment réparés, car le constructeur avait utilisé des serrures numériques à distance.

Ces exemples illustrent l'importance du contrôle des logiciels à l'ère du numérique, où les produits et les infrastructures sont de plus en plus interconnectés. Au lieu de recourir au sabotage ou à la fabrication clandestine d'engins explosifs via de fausses sociétés écrans, les acteurs malveillants peuvent cibler les logiciels. Ils peuvent infiltrer les fabricants pour manipuler les chaînes de production, exploiter les vulnérabilités ou attaquer les réseaux.

Les services de renseignement de sécurité insistent depuis longtemps sur la nécessité de protéger les infrastructures critiques qui dépendent de plus en plus des réseaux numériques, des réseaux électriques intelligents aux systèmes de communication d'urgence en passant par les systèmes de contrôle du trafic.

En 2021, le Service canadien du renseignement de sécurité (SCRS) a averti que l’exploitation des systèmes d’infrastructures critiques par des acteurs hostiles aurait de « graves répercussions financières, sociales, sanitaires et sécuritaires » au pays.

Assurer la sécurité des personnes

Pour comprendre l’impact potentiel, il est important de commencer par un exemple concret. Une panne de courant de deux jours survenue en juillet 2022 chez Rogers Communications a privé d’Internet et de services mobiles plus de 12 millions de clients à travers le Canada en raison d’une erreur lors d’une mise à jour du système.

Les attaques perpétrées au Liban constituent une violation potentielle du droit international, car elles ciblent des civils et utilisent des objets du quotidien piégés. L'utilisation d'équipements de communication comme armes lors de ces attaques fait l'objet d'une enquête approfondie. L'ancien directeur de la CIA, Leon Panetta, a qualifié ces attaques d'actes terroristes.

Lorsque plusieurs fabricants et distributeurs participent à l'assemblage d'un produit, le consommateur final doit pouvoir faire confiance à l'intégrité de la chaîne d'approvisionnement qui a permis de produire et de livrer ce produit. Dans le cas des attentats au Liban, les répercussions économiques et politiques se font largement sentir et il sera difficile de rétablir la confiance.

Outre les conséquences des attaques contre les chaînes d'approvisionnement mondiales, il existe également des implications politiques pour les fabricants de biens de l'« internet des objets », qui nécessitent des pratiques de gouvernance d'entreprise renforcées.

La Commission fédérale des communications (FCC) a récemment approuvé un programme d'étiquetage volontaire « Internet des objets » pour 2024 qui permettra aux fabricants d'afficher le « label de confiance du réseau virtuel » du pays. L'objectif est d'aider les consommateurs à prendre des décisions d'achat éclairées et d'encourager les fabricants à respecter des normes de cybersécurité de plus en plus élevées.

Les attaques perpétrées au Liban soulignent la nécessité pour les gouvernements, à tous les niveaux, de définir des exigences appropriées en matière d'acquisition et d'exploitation des infrastructures numériques. Il est notamment indispensable de préciser qui est responsable de l'exploitation et de la réparation de ces infrastructures afin de mieux garantir la sécurité publique à l'ère des cybermenaces.