Internet of Things & Blockchain : un mariage de raison

“Alexa, à qui transfères-tu mes données sans mon consentement ?”
Un utilisateur pas si anonyme

A l’heure où les grandes entreprises sont en proie aux cyberattaques, l’on oublie parfois que nous avons invité la menace chez nous.

L’Internet of Things (IoT) est un service d’interconnexion entre des objets physiques ou virtuels à travers l’Internet. Ce conglomérat de technologies permet de créer et transmettre des données afin d’accomplir certaines tâches et connecter ces objets aux différents services qu’ils offrent. Nous pouvons reprendre ici l’exemple de l’assistant personnel virtuel d’Amazon, Alexa, qui permet, par une commande vocale, de donner la météo, dresser une liste de tâche, ou même consulter son compte bancaire. Ce type de technologie peut ensuite s’interconnecter à d’autres objets, et créer ainsi un écosystème d’objets connectés permettant de générer, traiter et transmettre toutes les données concernant l’utilisateur.

Ces données ainsi créées représentent le jackpot pour quiconque arrive à mettre la main dessus, et malheureusement, l’IoT ne fait pas exception à la règle des cyberattaques. En effet, au vu de leur vulnérabilité, les hackers se faufilent plus facilement à travers les failles de sécurité des objets. Il en ressort que 25% des attaques pourraient maintenant passer par ces derniers. Pour commencer, la nature même de ces objets est un frein à la sécurité ultime. En effet, s’agissant d’objets interconnectés, ils ont nécessairement besoin d’avoir accès à un réseau et d’être visiblement sur le système, ce qui ouvre la porte à des tentatives d’intrusion. De plus, ils consacrent la majeure partie de leur faible énergie à l’exécution de leurs tâches premières, ce qui limite la sécurité de ces dispositifs, à moins d’y mettre le prix. Plus généralement, les fabricants n’ont pas pris l’habitude d’instaurer des mécanismes de sécurité adéquats et les consommateurs ne sont que rarement conscients des risques. Les mots de passe sont rarement changés et les mises à jour négligées, ce qui permet un accès d’autant plus simple pour les pirates.


 

1 – Les objets connectés, cibles majeures des cyberattaques

          A – L’exploitation des failles de sécurités par les pirates informatiques

Une faille de sécurité peut s’apparenter à un dysfonctionnement ou un défaut dans le logiciel de protection, pouvant alors être exploitée ou contrôlée par un tiers, souvent mal-intentionné, qui profitera de cette intrusion pour voler les données récoltées ou bien faire exécuter un programme malveillant. Très récemment, par exemple, les caméras de sécurité Xiaomi ont été en proie à une faille de sécurité alarmante. Un utilisateur a constaté que lorsqu’il connecte sa caméra Xiaomi à son Google Nest Hub, il lui était possible de naviguer sur le flux vidéo d’autres utilisateurs, et d’avoir accès à leurs propres caméras de surveillance. Il ne s’agit là que d’un dysfonctionnement involontaire du logiciel, mais qu’en est-il lorsqu’un hacker s’introduit volontairement dans notre système de surveillance ?

Depuis, 2013 les failles de sécurité ont doublé et touchent tous les domaines. Qu’il s’agisse de risques financiers, de violations aux principes de protection des renseignements personnels ou au secret professionnel, l’état des lieux devient préoccupant et avec l’évolution technique de ces nouvelles technologies, ce nombre ne pourra aller en s’amenuisant. En effet, les objets sont désormais connectés par Wi-Fi et autres accès à distance, ainsi la vulnérabilité et les menaces sont d’autant plus grands.

Les pirates informatiques usent de multiples artifices pour en arriver à leur fin. Il existe des techniques assez classiques comme l’usurpation d’identité ou l’utilisation de botnets. Il s’agit d’appareils connectés à internet et capables de diffuser de l’information par ce biais, qui ont été infectés par un logiciel malveillant dans le but de pouvoir en prendre le contrôle. Ce contrôle permet d’en capter les données, émettre des courriels pour faire de l’ingénierie sociale (ex: les courriels qui se font passer pour un fournisseur de service et qui incitent à entrer ses identifiants personnels en suivant un hyperlien) ou de lancer des attaques par déni de service. Ils peuvent aussi attaquer par déni de service (DDoS), qui consiste en l’attaque d’une cible par plusieurs appareils mises en réseau afin de rendre un service indisponible en le surchargeant de requêtes. Le logiciel Mirai, par exemple, est un malware qui réussit à attaquer sous ces deux chapeaux. Friand des objets connectés, il s’infiltre dans le système d’exploitation de ces derniers afin de les transformer en botnets pour ensuite les mettre en réseau et attaquer de nouvelles cibles par déni de réseau. Autrement, la technique de “l’Homme du milieu” (MiM), est souvent utilisée; il s’agit d’une attaque informatique ayant pour but d’intercepter ou de bloquer les communications entre deux appareils interconnectés. Ce scénario se retrouve beaucoup dans la sphère des entreprises. Le pirate se place entre les deux correspondants et peut ainsi voler quantités de données confidentielles ou encore manipuler le contenu et prendre la place de l’un d’eux, pour ainsi extorquer la victime.

          B- Les conséquences juridiques aux cyberattaques

Les conséquences de ces attaques sont multiples. Du vol d’identité à l’infiltration du système dans son entier, les pirates ont accès à tous les éléments de notre vie privée, ainsi qu’aux actifs numériques et autres savoir-faire des entreprises.

Si l’on se concentre sur la dimension individuelle, un vol de données, ou l’immiscion du pirate dans notre réseau constitue une atteinte à la vie privée, protégée par l’article 5 de la Charte québécoise des droits et libertés. Toutefois, il reste bien difficile d’identifier le pirate, caché derrière des algorithmes sophistiqués. Mis à part penser à changer son mot de passe régulièrement, l’utilisateur n’a pas beaucoup d’options pour protéger son réseau et il revient au fabricant de prendre le soin de mettre des mesures de sécurité rigoureuses.

Le problème de l’obligation de sécurité se pose alors. La Loi québécoise sur la protection des renseignements personnels dans le secteur privé (ci-après “LPRPSP”) impose à toute entreprise qui exploite des renseignements personnels de prendre des mesures de sécurité adéquates, “compte tenu, notamment, de leur sensibilité”. Toutefois, aucune jurisprudence ne vient préciser l’intention du législateur et cette obligation reste réduite à peau de chagrin. Tandis que la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (ci-après “LPRPDE”) pousse cette obligation jusqu’à imposer l’obligation de déclarer les atteintes aux mesures de sécurités dès lors que cela porte présente un risque réel de préjudice grave pour les individus.

Les cadres juridiques actuels québécois et canadien sont loin d’être suffisants dans un contexte d’augmentation de la mise en réseau des objets connectés et des cyberattaques. La règle de la LPRPSP est trop large et n’impose aucune obligation précise quant aux mesures adéquates à prendre. Celle de la LPRPDE ne couvre qu’un cas très restreint d’attaques et n’impose qu’une obligation a posteriori aux organisations qui recueillent, collectent ou communiquent des renseignements personnels à l’exception de celles situées en Alberta, Colombie Britannique et au Québec. Force est de constater que ces lois ne sont pensées pour de telles technologies et il serait peut être temps que cela change.

Il devient plus que jamais impératif de se protéger contre ces intrusions et de les prévenir. Plus les objets connectés prennent une place importante dans notre quotidien, plus les risques qui y sont associés augmenteront. En l’absence de règles statutaires établies, il serait peut être intéressant d’utiliser l’évolution technologique comme réponse à ces cyberattaques. L’approche du Privacy by design a été pensée pour répondre a priori à l’obligation de mesures de protection et avec une technologie de pointe comme la blockchain, cela semble la solution tout indiquée. Étonnamment ce concept, d’origine canadienne et intégré au règlement européen sur la protection des données, n’a jamais été codifié par le législateur canadien et québécois.


 

2 – Une blockchain pour les sauver tous

Or, lorsque le secteur public n’adresse pas une inquiétude légitime et répandue, il laisse au privé tout loisir d’y apporter ses propres réponses.

          A – La Blockchain, garant de votre sécurité

La sécurité et le respect de la vie privée restent un défi majeur, principalement en raison de l’échelle massive et de la nature distribuée des réseaux IoT. Or comme les objets connectés ont de basses ressources énergétiques, pour les protéger efficacement il est important que la communication de l’information puisse être entre dispositifs autorisés et dont l’autorisation est vérifiable, le tout sans risques de captation externe. La blockchain est un registre distribué, sans organe central de contrôle qui permet d’automatiser la transaction d’information entre personnes qui n’ont pas de raison de se faire confiance. Il apparaîtrait donc logique de transposer un tel environnement sécuritaire, permettant des transactions entre individus, à des réseaux d’objets connectés contrôlés par un ou plusieurs propriétaires, tel l’habitant d’une maison connectée, une ville intelligente, une entreprise tel HydroQuébec ou encore l’État. Ces derniers utiliseraient les fonctionnalités de la blockchain afin de garantir la véracité et la confidentialité des informations transigeant sur le réseau, notamment par divers mécanismes de chiffrement.

Pour ce faire, chaque réseau IoT disposerait de sa propre blockchain privée, afin de garder une trace de chaque échange d’information entre tous les objets connectés grâce à son registre partagé. En pratique, tout objet connecté souhaitant se connecter au réseau IoT se verra attribuer un identifiant et des autorisations quant à l’information qu’il peut recevoir ou émettre, stocké sur l’objet ou dans l’infonuagique. Les interactions entre les objets connectés sont alors vérifiées par le ou les mineurs du réseau, qui vont permettre et restreindre les échanges d’information entre les divers objets connectés en fonction des autorisations dont ils disposent.

          B – Un atout dans la protection de vos données confidentielles

L’utilisation d’une blockchain dans l’IoT permet d’assurer la sécurité des données et donc des renseignements personnels, notamment en répondant aux trois critères du modèle CIA (confidentiality – integrity – availability), importants en matière de cybersécurité.

La confidentialité, qui est la certitude s’assure que seul l’utilisateur autorisé est en mesure de lire le message, est assurée par l’utilisation du système d’infrastructure à clé publique inhérent à la blockchain qui permet aux objets connectés de communiquer des informations seulement aux objets connectés autorisés.

L’intégrité, qui est l’assurance que la donnée transmise est reçue par le destinataire sans aucune modification ni captation, provient du fait que les informations reçues par la blockchain utilisent des processus de certification avant d’être autorisées par les vérificateurs de cette dernière avant d’être transmises aux dispositifs autorisés.

Et enfin, la disponibilité des données est garantie par la mise en place d’une limite d’informations acceptées et transmises par les objets connectés sur un laps de temps. Cette limite peut être différente selon le type d’objet et ses besoins et capacités informationnels. Toutefois il se peut que la sécurité diminue l’efficacité des dispositifs en causant une transmission d’information plus lente.

 

Bien que la technologie puissent apporter certaines réponses techniques à l’intérêt légitime des canadiens concernant la protection de leurs renseignements personnels, il semble important que le législateur prenne en compte l’augmentation des cyberattaques, et le rôle des objets connectés dans ces dernières, lors de la refonte en cours de ses lois sur la protection des renseignements personnels, tant au niveau provincial que fédéral. Il paraît également essentiel que soient intégrées certaines obligations de divulgation aux autorités et aux personnes concernées, en cas de faille de sécurité impliquant des renseignements personnels.

2 juillet 2020

Article co-rédigé par Me Erwan Jonchères et Me Valentine Cheviron pour la Chronique du CTI du Jeune Barreau de Montréal