Catégorie : Techniques

Cela fait quelques années que nous voyons passer quantité d’actualités qui traitent de cette thématique, parfois pour prédire la survenue d’un nouvel avenir radieux, parfois un nouvel enfer, et parfois un peu des deux. Mais de quoi s’agit-il au fait ?

Il semblerait que cette expression soit née vers 1999 dans un réseau de sept laboratoires de recherches appelé auto-ID ([1|) et dont la mission est de « rechercher et développer de nouvelles technologies destinées à révolutionner le commerce mondial et à fournir des bénéfices pour les utilisateurs qui étaient précédemment irréalisables » ([2]). Plusieurs sources mentionnent l’utilisation de l’expression « internet of things » par un chercheur du MIT, Kevin Ashton, lors d’une présentation avec Procter & Gamble. Dès l’année suivante, cette expression était devenue courante dans un petit noyau de chercheurs ([3], [4], [5]).

Comme il est d’usage, cette expression a eu une préhistoire. Certains la font remonter jusqu’en 1982 et à une expérience amusante menée à l’université de Carnegie Mellon ([5]) avec un distributeur de boissons. La première publication faisant référence à ce sujet daterait de 1991 ([6]). Originellement, c’est un « internet pour les objets » qui était imaginé, avec un réseau spécifique et adapté à ces derniers. Avec le temps, le sens de cette expression a évolué. Certains ont imaginé d’utiliser le même internet que nous (pourquoi avoir deux réseaux ?). Par ailleurs, des objets de consommation de masse ont été produits, qui ont une grande partie de leur fonctionnalité « quelque part dans le nuage, sur internet ». Imaginez, par exemple, la recherche d’un horaire et l’achat d’un billet de train avec un smartphone, ou alors la consultation des données de vos dernières performances sportives, performances qui avaient été enregistrées via un bracelet ou une montre connectée.

Ces objets semblent déjà très nombreux, une source estimant qu’ils sont déjà au nombre d’environ 23 milliards en 2018 ([7]) et d’aucuns estiment qu’ils vont continuer à se multiplier à des rythmes encore plus fous dans les années à venir ([7], [8]). On parle de 30 milliards en 2020 et de 75 milliards en 2025 ! Inutile de dire que de tels nombres font saliver. Dans une Europe en voie de désindustrialisation ([9], [10]) et dans une Suisse qui n’est pas à l’abri ([11]), toute nouvelle source de revenus est évidemment bienvenue.

Quatre acteurs du monde économique suisse et international ont publié « INTERNET OF THINGS, L’ÉMANCIPATION DES OBJETS » auprès des éditions G d’ancre en 2017 ([12]). Ils y décrivent toute l’importance qu’ont prise à leurs yeux les objets connectés (smartphones, montres connectées, bracelets traceurs d’activité physique, kit de diagnostic et de suivi médical, traceurs GPS, doudous connectés, boite à médicaments connectée, plantes connectées, assistants domestiques, compteurs intelligents, aspirateur et télévisions connectées, etc.). Pour eux, tous ces objets sont merveilleux, ils sont déjà indispensables et vont devenir essentiels, et il est absolument indispensable que l’industrie locale se lance de toute urgence sur ce marché afin d’en profiter au maximum … tant qu’il est encore temps !

Vu le talent de ladite industrie en matière de microtechnique (la production en grand nombre de petits objets de grande qualité), le plaidoyer de ces auteurs semble plein de bon sens. Par exemple, produire une boîte de médicaments qui peut détecter quand une personne oublie de prendre ses prescriptions, peut-être très utile pour des personnes qui sont devenues désorientées. Disposer d’une machine qui permettrait aux patient-e-s diabétiques de mesurer en permanence leur glycémie et d’ajuster automatiquement le dosage fourni par leur pompe à insuline est susceptible de leur éviter beaucoup de situations délicates (hypo et hyperglycémies) et de préserver leur santé à moyen et long terme. Et il y a de nombreux autres objets qui pourraient se révéler extrêmement utiles.

Mais je crains qu’il n’y ait nettement plus loin de la coupe aux lèvres qu’escompté, en raison de problèmes liés aux logiciels de ces objets, de à l’absence de sécurité de ces derniers, des conséquences catastrophiques que cela peut avoir, des problèmes de sécurité des données sur Internet et en raison d’un mouvement croissant vers une sobriété heureuse (des objets en moindre nombre et beaucoup plus durables).

Le monde médical connaît les objets connectés depuis des années et les problèmes pratiques qu’ils soulèvent illustrent bien la problématique.

• La difficulté de rendre réellement utiles et pertinents les produits de l’IT dans le monde de la médecine a été décrite, entre autres, dans une publication de 2010, qui décrit le cadre général du sujet ([13]).
• Les problèmes liés aux appareils médicaux (connectés ou non) font régulièrement surface dans les forums spécialisés ([14]) avec des histoires qui font dresser les cheveux sur la tête. Les problèmes sont suffisamment graves et récurrents pour qu’ils fassent régulièrement l’objet de synthèses et de points de situation dans des publications académiques ([15], [16], [17], [18]).
• Nombre de ces situations relèvent d’un scénario qui est le suivant : afin de piloter leurs objets (dont certains coûtent des millions et dont les dysfonctionnements peuvent mettre en danger la vie des patients), les fabricants sous-traitent la partie logicielle de ces derniers. Ils recourent à des logiciels de base complètement obsolètes et ne prennent aucune mesure pour les faire mettre à jour. Afin de faciliter la maintenance de leurs équipements, ils incluent des accès vers internet et, pour se simplifier la vie l’authentification est extrêmement basique et la même sur tous leurs objets. Tout ceci se combine, bien sûr, avec les bugs du logiciel destiné à piloter leurs appareils. En conséquence, il est extrêmement facile de s’introduire à distance dans ces appareils pour en prendre le contrôle et cela a été fait. Nombre d’entre eux sont infectés de virus très délétères qui, pour la plupart, seraient gardés sous contrôle par un logiciel de base et un antivirus régulièrement à jour.
• Un hôpital qui est averti de la situation peut prendre des mesures aptes à réduire les risques. Il peut renforcer ses procédures d’achats et il peut prendre des mesures techniques et organisationnelles qui vont réduire très notablement l’éventualité de dysfonctionnements majeurs de ce genre de machine.
• Si des appareils extrêmement coûteux sont mis sur le marché alors qu’ils comportent des faiblesses aussi graves, qu’en est-il d’appareils fabriqués en grande série et vendus à bien moindre coût ? Et certains de ces appareils peuvent également mettre en danger la vie de leurs utilisateurs, s’ils dysfonctionnent.
• Les pompes à insuline existent depuis des années et elles facilitent la vie des patients diabétiques, tout comme les appareils qui leur permettent de mesurer régulièrement leur taux de glycémie sans devoir se piquer sans cesse. Pour autant, nombre de personnes disaient il y a encore peu de temps qu’aucune entreprise ne serait assez inconsciente pour « fermer la boucle » et produire un appareil permettant de piloter la pompe à partir des mesures du taux de glycémie. En cas d’erreur, les conséquences seraient bien trop graves et problématiques. Mais c’est raté. Les premiers appareils sont sur le marché ([19], [20], [21]) et ils comportent toutes les caractéristiques nécessaires (pilotage via un smartphone, parties de logiciels dans le nuage, etc.) pour induire des risques de sécurité majeurs. Les forums spécialisés ont toutes les chances d’avoir des histoires très intéressantes dans les mois à venir.

Ces négligences graves ne sont pas réservées au domaine de la santé. Des problèmes du même ordre autour du vote électronique et, en particulier des machines destinées à enregistrer les votes font régulièrement surface. Elles démontrent des négligences tout aussi graves avec des conséquences comparables ([22]). On trouve également des cas de véhicules connectés qui ont été piratés ([23] [24], [25], [26], [27], [28]), certains ont démontré qu’ils étaient en mesure de prendre le contrôle et de dérouter des navires ([29], [30]) voire d’attaquer des avions de ligne ([31], [32], [33]) ! La question de savoir quand aura lieu le premier assassinat en série commis en prenant à distance le contrôle de véhicules autonomes est posée ([27], [28]) fait l’objet d’intenses débats. Les premiers accidents mortels ont déjà eu lieu ([34]).

Dans ce contexte, les annonces concernant le piratage et les défauts importants d’objets plus quotidiens se suivent en quantité, se ressemblent et paraissent presque banales, tant elles sont annoncées. Qu’il s’agisse de la prise de contrôle du robot utilisé par Nestlé pour accueillir les clients au japon ([35], [36]), d’une poupée connectée interdite de vente par le gouvernement allemand ([37], [38], [39], [40]), ou d’un soi-disant assistant domestique qui nous rappelle que sa fonction première est d’enregistrer tout ce qui passe à sa portée ([41], [42]), toutes ces nouvelles sont d’autant plus lassantes qu’elles confirment qu’aucun changement d’attitude de la part des fabricant d’objets ne s’est produit.

Les multinationales ont, jusque-là, eu les moyens de faire croire à leurs clients que ces défauts n’existaient pas, ou qu’ils n’avaient aucune importance. Mais combien de temps, cela va-t-il durer ? Et une PME pourra-t-ealle faire de même, alors que ses ressources sont beaucoup plus limitées ?

Pour pouvoir profiter durablement de l’opportunité constituée par la généralisation des objets connectés, les PME spécialisées dans la microtechnique vont impérativement devoir prendre à bras le corps les problèmes de sécurité, de protection de la sphère privée et de fiabilité qui sont récurrents dans les situations décrites ci-dessus. Il est certainement possible de trouver des solutions et il est même possible qu’elles aient déjà été développées, et qu’elles attendent quelque part dans un laboratoire. Mais elles ont toutes les chances d’être nettement plus chères et contraignantes que l’attitude négligente qui a prévalu jusque-là.

Il pourrait cependant y avoir une place à prendre qui permettrait aux chercheurs et aux entreprises qui apportent des solutions solides d’acquérir une légitimité, des arguments de vente, et une position très solide dans un marché où la concurrence est très forte. Ceci nous permettrait également d’avoir des objets connectés qui seraient beaucoup plus fiables et à notre service que les objets actuels. Ceci nous changerait notablement de la situation dystopique dans laquelle nous nous trouvons actuellement. Mais un tel changement est-il susceptible de se produire ? Et quand ?

 

RÉFÉRENCES

[1] https://autoidlabs.org

[2] https://autoidlabs.org/#about

[3] https://www.redbite.com/the-origin-of-the-internet-of-things/

[4] https://www.ifm.eng.cam.ac.uk/news/the-origin-of-the-internet-of-things/

[5] https://en.wikipedia.org/wiki/Internet_of_things

[6] Weiser, Mark (1991). « The Computer for the 21st Century”. Scientific American. 265 (3): 94–104. Bibcode:1991SciAm.265c..94W.

[7] https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide/

[8] https://spectrum.ieee.org/tech-talk/telecom/internet/popular-internet-of-things-forecast-of-50-billion-devices-by-2020-is-outdated

[9] https://www.tresor.economie.gouv.fr/Ressources/File/326045

[10] https://www.robert-schuman.eu/fr/questions-d-europe/0082-ou-va-l-industrie-europeenne

[11] https://www.letemps.ch/economie/suisse-train-perdre-industrie

[12]  Xavier Comtesse, Florian Németi, Giorgio Pauletto, Dominique Duay, INTERNET OF THINGS, L’ÉMANCIPATION DES OBJETS, Editions G d’Encre, 2017

[13] Stephen V. Cantrill, m.D., Computers in Patient Care: the Promise and the Challenge, Communications of the acm | september 2010 | vol. 53 | no. 9, pp 42-47.,

[14] https://catless.ncl.ac.uk/Risks/

[15] A. J. Burns, M. Eric Johnson, Peter Honeyman, A Brief Chronology of Medical Device Security, Communications of the ACM, October 2016, Vol. 59 No. 10, Pages 66-72

[16] Kevin Fu, James Blum, Controlling For Cybersecurity Risks of Medical Device Software, Communications of the ACM, October 2013, Vol. 56 No. 10, Pages 35-37

[17] Johannes Sametinger, Jerzy Rozenblit, Roman Lysecky, Peter Ott, Security Challenges For Medical Devices, Communications of the ACM, April 2015, Vol. 58 No. 4, Pages 74-82

[18] Daniel Halperin,  Thomas S. Heydt-Benjamin,  Kevin Fu, Tadayoshi Kohno,  William H. Maisel, Security and Privacy for Implantable Medical Devices, IEEE Pervasive Computing ( Volume: 7, Issue: 1, Jan.-March 2008 )

[19] https://www.fda.gov/MedicalDevices/ProductsandMedicalProcedures/DeviceApprovalsandClearances/Recently-ApprovedDevices/ucm600603.htm

[20] https://www.lesechos.fr/13/04/2017/LesEchos/22425-065-ECH_les-outils-pour-mieux-gerer-le-diabete-se-multiplient.htm

[21] https://www.romandie.com/news/Ypsomed-lance-une-nouvelle-application-pour-controler-le-diabete/885854.rom

[22] voir, par exemple, https://www.schneier.com/crypto-gram/archives/2018/0515.html#1

[23] https://www.nytimes.com/2017/05/19/opinion/what-happens-when-your-car-gets-hacked.html

[24] http://fortune.com/2017/07/27/car-wash-hack/

[25] https://blog.trendmicro.com/trendlabs-security-intelligence/connected-car-hack/

[26] https://www.thetimes.co.uk/article/hackers-could-take-control-of-cars-and-kill-millions-ministers-warned-fx8gv5sk7

[27] https://eu.detroitnews.com/story/business/autos/mobility/2017/11/15/carmakers-stuggle-robot-car-hacking-fears/107696450/

[28] https://www.westernjournal.com/experts-warn-terrorists-kill-millions-remotely-hacking-peoples-cars/

[29] https://www-asket-co-uk.cdn.ampproject.org/c/s/www.asket.co.uk/single-post/2017/11/26/Hackers-took-full-control-of-container-ships-navigation-systems-for-10-hours-AsketOperations-AsketBroker-ELouisv-IHS4SafetyAtSea-TanyaBlake-cybersecurity-piracy-shipping

[30] https://catless.ncl.ac.uk/Risks/30/52#subj11.1

[31] https://www.csoonline.com/article/3236721/security/homeland-security-team-remotely-hacked-a-boeing-757.html

[32] https://catless.ncl.ac.uk/Risks/28/69#subj1.1

[33] https://www.wired.com/2015/05/feds-say-banned-researcher-commandeered-plane/

[34] https://www.zdnet.com/article/uber-suspends-self-driving-car-program-after-death/

[35]  https://www.lemondeinformatique.fr/actualites/lire-le-robot-pepper-nid-a-vulnerabilites-de-securite-71896.html

[36] https://arxiv.org/pdf/1805.04101.pdf

[37] https://www.journaldugeek.com/2017/02/20/lallemagne-interdit-la-vente-de-la-poupee-connectee-cayla-qui-peut-potentiellement-espionner-les-enfants/

[38] http://www.lefigaro.fr/flash-eco/2017/02/17/97002-20170217FILWWW00284-allemagne-une-poupee-connectee-retiree-de-la-vente.php

[39] https://www.lemonde.fr/pixels/article/2017/02/20/en-allemagne-une-poupee-connectee-qualifiee-de-dispositif-d-espionnage-dissimule_5082452_4408996.html

[40] https://www.lesechos.fr/04/12/2017/lesechos.fr/030977668823_la-croissance-du-jouet-connecte-a-l-epreuve-des-polemiques-sur-la-securite.htm

[41] http://www.lefigaro.fr/secteur/high-tech/2018/05/25/32001-20180525ARTFIG00236-une-enceinte-d-amazon-enregistre-la-conversation-d-un-couple-puis-la-partage-par-erreur.php

[42] https://www.lesnumeriques.com/assistant-domotique/echo-amazon-enregistre-a-tort-conversation-privee-n74579.html