Bruce Schneier, le spécialiste de la sécurité estime que l’internet des objets nous fait désormais courir un grand danger. Il s’inquiétait, il n’y a pas si longtemps, que quelqu’un soit en train d’apprendre à détruire l’internet (voir les explications qu’en rapportait Xavier de la Porte), en pointant la sophistication des attaques en déni de service envers les entreprises les plus critiques de l’internet, comme Verisign, l’entreprise qui gère les noms de domaine en .com et .net.
Dans une tribune plus récente, il explique que nous avons besoin d’une plus grande implication des gouvernements dans la sécurité de l’internet des objets, de plus en plus mobilisé par les attaquants pour porter leurs coups. Il convoque à sa démonstration l’attaque en déni de service distribué menée récemment contre le fournisseur de noms de domaines Dyn via des milliers ou des millions d’appareils électroniques connectés, faisant tomber des dizaines de grands sites web, comme Twitter ou PayPal…
Pour lui, le constat est clair : il y a une défaillance du marché de l’informatique connectée. Ce secteur produit des appareils peu coûteux, qui ne sont pas conçus avec des règles de sécurité suffisantes, qui, pour beaucoup, ne disposent même pas de systèmes de mise à jour. « Ni le vendeur ni l’acheteur de ces dispositifs ne se soucient de réparer leurs vulnérabilités », notamment parce que l’insécurité affecte principalement d’autres personnes que le vendeur ou l’acheteur. Le manque de sécurité est « une forme de pollution invisible ».
Et comme pour la pollution, la seule solution est de réglementer, estime le spécialiste. C’est au gouvernement d’imposer des normes minimales aux fabricants, permettant par exemple à des entreprises comme Dyn de les poursuivre si leurs appareils sont utilisés dans des attaques DDoS. Et pour Schneier, il suffit d’une action de quelques pays pour développer de meilleurs logiciels permettant de mettre à jour et d’améliorer par effet rebond toutes les normes de sécurité. Les chercheurs ont déjà démontré qu’on pouvait prendre le contrôle de voiture via l’internet, qu’on pouvait transformer les thermostats domestiques en ransomware… Pour lui, nous devons discuter de solutions réglementaires, avant qu’une catastrophe ne nous impose de mauvaises solutions.