Le risque d'utiliser des objets du quotidien comme armes

Un engin radio explose à Baalbek, au Liban, le 18 septembre. (Source : Anadolu)

Les récentes attaques au Liban au moyen de téléavertisseurs et de talkies-walkies chargés d’explosifs constituent une nouvelle tactique et posent un défi majeur à la sécurité de tous les pays du monde .

La particularité de cette tactique réside dans le fait qu'elle ne vise pas à saboter technologiquement l'ennemi. Historiquement, la tactique du cheval de Troie a été utilisée en exploitant les communications ou les équipements militaires pour cibler des cibles spécifiques.

Ciblage logiciel

Les attentats au Liban ont suscité la controverse, car ils ont utilisé des engins explosifs couramment utilisés dans la vie civile. Ils ont fait 37 morts, dont deux enfants, et plusieurs commandants du Hezbollah, et près de 3 000 blessés.

Les experts en droit international humanitaire ont accusé cette attaque de violer le droit international, car elle n'a pas distingué les cibles militaires des cibles civiles et a utilisé des pièges interdits dans des dispositifs conventionnels susceptibles de mettre en danger les civils. Les analystes de la sécurité, quant à eux, ont averti qu'elle pourrait marquer le début d'une nouvelle ère de « militarisation » des objets du quotidien.

Les attaques par sabotage ou désactivation d'objets connectés par corruption délibérée de leur logiciel sont de plus en plus fréquentes. Les fabricants contrôlant les logiciels qui collectent et traitent les données, ils disposent de fonctionnalités intégrées pour mettre à niveau ou rétrograder les fonctionnalités. Cela permet également de mettre en place des « ajustements préventifs » lorsque les entreprises réduisent intentionnellement ces fonctionnalités en limitant stratégiquement les mises à jour logicielles.

Un exemple récent sur le marché est un litige entre un fabricant de trains et une compagnie ferroviaire en Pologne qui a laissé certains trains récemment réparés inutilisables pendant des mois en 2022 parce que le fabricant utilisait des serrures numériques à distance.

Ces exemples illustrent l'importance du contrôle des logiciels à une époque où de plus en plus de produits et d'infrastructures sont interconnectés. Au lieu de recourir au sabotage ou de fabriquer subrepticement des explosifs en utilisant de fausses sociétés écrans, les acteurs peuvent cibler les logiciels. Ils peuvent infiltrer les fabricants pour manipuler les fournitures de production, exploiter les vulnérabilités ou simplement attaquer les réseaux.

Les agences de renseignement de sécurité soulignent depuis longtemps la nécessité de protéger les infrastructures critiques qui dépendent de plus en plus des réseaux numériques, des réseaux électriques intelligents aux systèmes de communication d’urgence en passant par les systèmes de contrôle du trafic.

En 2021, le Service canadien du renseignement de sécurité (SCRS) a averti que l’exploitation des systèmes d’infrastructures critiques par des acteurs hostiles aurait de « graves répercussions financières, sociales, sanitaires et sécuritaires » dans le pays.

Assurer la sécurité des personnes

Pour comprendre l'impact potentiel, il est important de commencer par le concret. En juillet 2022, une panne de courant de deux jours chez les clients de Rogers Communications a privé plus de 12 millions de clients au Canada de leurs services Internet et mobile en raison d'une erreur de mise à niveau du système.

Les attentats au Liban constituent une violation potentielle du droit international, car ils visent des civils et utilisent des objets du quotidien piégés. L'utilisation d'armes de communication lors de ces attaques fait l'objet d'une enquête approfondie. L'ancien directeur de la CIA, Leon Panetta, a qualifié ces attaques de forme de terrorisme.

Lorsque plusieurs fabricants et distributeurs interviennent dans l'assemblage d'un produit, le consommateur final doit pouvoir compter sur l'intégrité de la chaîne d'approvisionnement qui a produit et livré ce produit. Dans le cas des attentats au Liban, les conséquences économiques et politiques sont largement ressenties et il sera difficile de rétablir la confiance.

Outre les conséquences des attaques sur les chaînes d’approvisionnement mondiales, il existe également des implications politiques pour les fabricants de biens de « l’Internet des objets », nécessitant des pratiques de gouvernance d’entreprise améliorées.

La Commission fédérale des communications (FCC) a récemment approuvé un programme volontaire d'étiquetage « Internet des objets » en 2024, qui permettra aux fabricants d'afficher le label de confiance « Virtual Network Trustmark » du pays. L'objectif est d'aider les consommateurs à prendre des décisions d'achat éclairées et d'encourager les fabricants à respecter des normes de cybersécurité de plus en plus strictes.

Les attaques au Liban soulignent la nécessité pour les gouvernements, à tous les niveaux, de définir des exigences appropriées pour l'acquisition et l'exploitation des infrastructures numériques. Cela doit notamment clarifier les responsabilités d'exploitation et de réparation de ces infrastructures afin de mieux garantir la sécurité publique à l'ère des cybermenaces.