Bruce Schneier: «Je suis très inquiet des problèmes de sécurité ayant un impact sur le monde physique»
«Click Here to Kill Everybody» est le titre provocateur du nouveau livre de Bruce Schneier. En entretien avec nos confrères de la Netzwoche, l'expert en sécurité de renommée mondiale parle des dangers de l'internet des objets et explique pourquoi il attend l'ordinateur quantique avec impatience.
Le titre de votre dernier livre suggère qu’un monde fait d'objets connectés signifie qu’internet peut tuer. N'est-ce pas un peu exagéré?
Pas du tout. Les machines peuvent tuer des gens, c’est par exemple le cas des voitures ou des appareils médicaux. Nous sommes habitués à cette idée. Qu'est-ce qui vous fait penser que j'exagère?
Si l’on suit votre slogan, l'informatique et l'internet sont des choses intrinsèquement mauvaises et qui conspirent contre l'humanité. Or, la technologie n’est pas mauvaise en soi, elle peut simplement être utilisée à mauvais escient.
Tout à fait, mais les dangers liés à des détournements des objets connectés sont absolument réels. Peut-être pas aujourd'hui, mais bientôt. Les ordinateurs sont vulnérables, donc chaque voiture autonome, chaque robot médical sera vulnérable. Bien sûr, les machines ne sont pas mauvaises en soi. Une personne doit cliquer intentionnellement et alors la technologie peut bel et bien tuer. C'est pourquoi j'ai choisi ce slogan.
Les technologies numériques influencent l'économie, la politique et la société. Quels effets ont-elles sur le monde?
L'impact est énorme et je ne pense pas que nous le comprenons complètement. Nous commençons à peine à le saisir.
Quel est le rôle de la cybersécurité dans ce contexte?
Dans un monde où tout devient informatisé, la cybersécurité est centrale. Elle devient une question de sécurité nationale, de sécurité pour la démocratie, de sécurité personnelle ou de sécurité médicale. Tout est traité par les ordinateurs, de sorte que la cybersécurité est l'alpha et l'oméga.
En tant que spécialiste de la cybersécurité, qu’est-ce qui vous donne des cauchemars?
Les problèmes de sécurité informatique susceptibles d’avoir un impact physique direct sur le monde. Avec l'internet des objets et la mise en réseau de tous les appareils, la façon dont nous gérons les ordinateurs change. Avec des conséquences profondes que nous ne comprenons pas encore parfaitement. Ça m'inquiète beaucoup.
Quelle solution contre ce problème?
Deux tiers de mon nouveau livre sont consacrés aux solutions. Il s’agit de réglementations, de licences, de normes et d’autres moyens permettant de faire aller le marché dans le bon sens. Les autorités publiques sont le maillon manquant, mais avec leur aide les problèmes pourront être résolus.
Sommes-nous aujourd'hui plus vulnérables aux cyberrisques que par le passé?
Sans aucun doute. Non pas parce que les attaquants se sont améliorés ou que la cybersécurité s'est détériorée, mais parce que les ordinateurs deviennent quelque chose de plus intime et vital. Avec l’importance prise par les ordinateurs dans notre vie quotidienne, le risque a également changé de nature. Comme je l'ai dit, les voitures et les technologies médicales seront probablement les premiers domaines qui verront des ordinateurs tuer des gens. Mais il existe de nombreux autres domaines à risque, tels que les centrales électriques, la production alimentaire, les drones et l’armement.
Comment les menaces de l'internet des objets vont-elles modifier les tâches des responsables de la cybersécurité?
C'est une question importante, mais nous ne connaissons pas encore la réponse. Il ne fait aucun doute que son activité va devoir changer.
La cybersécurité n'est pas seulement un problème logiciel. Bloomberg a fait état d'une tentative de l'armée chinoise de placer des puces d'espionnage sur des cartes serveurs américaines...
La plupart des gens ne croit désormais plus vraiment à cette histoire. Personne n’en sait rien. A vrai dire, personne n’est en mesure de présenter des preuves confirmant ou infirmant ces informations.
Dans quelle mesure le danger d'un tel piratage matériel est-il réel?
Le danger est bien réel, et on le sait. Mais si vous étiez la Chine et que vous vouliez espionner les serveurs américains, vous n'y placeriez pas un appareil qui consomme de l'espace, du poids et de la puissance. Ce serait très stupide. Comme tout le monde, vous intégreriez quelque chose au niveau logiciel. Si cette puce espion avait existé, on en aurait vu une photo. Bloomberg n'a malgré tout pas retiré son article. Cette histoire est dingue.
Les spécialistes du chiffrement, les cybercriminels et les organismes gouvernementaux sont engagés dans une course pour le contrôle de l'information numérique. Quelqu'un peut-il la gagner?
Personne ne peut gagner cette course. Après tout, gagner, c'est y mettre fin. Elle se poursuivra probablement aussi longtemps que l'informatique existera sous sa forme actuelle, du moins dans un avenir proche.
Certains pensent que les ordinateurs quantiques signeront la fin de la cryptographie parce qu'ils peuvent être utilisés pour casser les chiffrements. Qu'est-ce que cette technologie va changer en matière de cybersécurité?
Pas grand-chose. Avec mes collègues, nous prenons bien-sûr la question au sérieux et anticipons la percée de l'ordinateur quantique. Nous travaillons intensivement au développement d'algorithmes de clé publique à résistance quantique. Pour l’heure, l'informatique quantique n'en est qu’à ses balbutiements. Nous ne savons pas encore ce qui est sécurisé et ce qui ne l'est pas. L'ordinateur quantique n'est toutefois pas une catastrophe pour la cryptographie. Nous survivrons.
A lire aussi sur l’émergence de l’internet des objets et les dangers des objets connectés:
>> L’internet des objets vulnérable(s)
>> Des défibrillateurs cardiaques implantés piratables à distance
>> Le digital s’empare du monde réel