Le gouvernement japonais prévoit de pirater les dispositifs IoT des citoyens
Pour aider à les sécuriser avant les Jeux Olympiques 2020 au Japon

Le gouvernement japonais a approuvé un amendement pour permettre aux employés de l'institut national des technologies de l'information et des communications (NTIC) de pirater les dispositifs IoT des consommateurs japonais, a rapporté le site japonais NHK World. Toutefois, d’après NHK World, le motif de ce piratage massif de 200 millions de dispositifs IoT est noble. Le gouvernement japonais veut aider à améliorer la sécurité de ces dispositifs à l’approche des Jeux Olympiques qui se tiendront au Japon en 2020. Selon NHK World, le gouvernement n’a pas l’intention de contrôler les appareils des citoyens japonais et des organisations. En effet, dans un contexte de crise de sécurité de ces derniers temps, certains pays ont pris des mesures de surveillance de leurs citoyens.

Le vendredi 21 décembre dernier, un mouvement de partis de l’opposition en Inde interpellait le gouvernement indien qu’il risquait de créer un « Etat de surveillance », après que le pays ait autorisé 10 agences du gouvernement fédéral à intercepter et à surveiller des informations provenant de n’importe quel ordinateur, selon un rapport du Telegraph. Ces 10 agences pourraient « intercepter, surveiller et déchiffrer toute information générée, transmise, reçue ou stockée dans n'importe quel ordinateur » en vertu de la loi sur les technologies de l'information, au détriment de toute forme de confidentialité.

Au cours de la même période, le ministère indien de l'électronique et des technologies de l'information (MeitY), dans une nouvelle proposition de règles publiée sur son site Web, le 25 décembre dernier, faisait obligation aux plateformes telles que Facebook, WhatsApp, Twitter et Google de supprimer le contenu que le gouvernement jugerait « illégal » pendant les 24 heures à compter de la notification et à créer des « outils automatisés » pour « identifier et supprimer de manière proactive » ce type de contenu.

Nom : IMG01.png
Affichages : 3110
Taille : 163,6 Ko
Le site de construction du Nouveau Stade National, le site principal des Jeux Olympiques et Paralympiques de Tokyo 2020


Dans la présente décision du Japon, Masashi Ishida, Ministre de l'intérieur et des communications, a approuvé un amendement aux dispositions complémentaires de l'Institut national de droit des technologies de l'information et de la communication, qui autorise le « piratage », et prévoit l’accès à des millions de dispositifs IoT des citoyens, pour découvrir leurs vulnérabilités afin de renforcer la cybersécurité. Une loi révisée qui permet cette enquête, première du genre au Japon, est entrée en vigueur en novembre dernier et donne à l'institut le pouvoir d'accéder aux appareils des gens sur une période de cinq ans. Un fonctionnaire du ministère des Communications a demandé l'appui et la compréhension du public, citant la nécessité d'améliorer la cybersécurité à l'approche des Jeux olympiques et paralympiques de Tokyo l'an prochain.

À partir de la mi-février, selon NHK World, l'institut national des technologies de l'information et des communications générera des identifiants et des mots de passe pour tenter de pirater des millions de dispositifs IoT sélectionnés au hasard et compiler une liste des dispositifs vulnérables, tels que des routeurs et des webcams qui utilisent des mots de passe par défaut ou faciles à deviner. L’institut partagera ensuite l'information avec les fournisseurs de services Internet qui devront alerter les consommateurs afin de sécuriser leurs appareils.

La crainte du gouvernement japonais, qui s'inquiète de la possibilité d'un piratage majeur, est justifiée, car ces grands événements sportifs internationaux, auxquels le pays se prépare, ont déjà provoqué des alertes de cybersécurité dans le passé. C’était, par exemple, le cas à la coupe du monde de football en Russie, en été dernier, où les visiteurs avaient été avertis par le National Counterintelligence and Security Center des États-Unis que toutes les données détenues sur un téléphone mobile, une tablette ou un ordinateur portable - y compris les données personnelles - risquaient d'être consultées par des acteurs malveillants financés par l'État.

Des outils malveillants d’attaques majeures avaient été également déployés par le passé lors des événements similaires. Pour se venger après que le comité international olympique eut interdit à des centaines d'athlètes russes de concourir, les pirates informatiques de l'État-nation russe avaient déployé le logiciel malveillant « Olympic Destroyer » avant la cérémonie d'ouverture des Jeux olympiques d'hiver de Pyeongchang en Corée du Sud au début de 2018. Ces mêmes pirates russes avaient également construit un réseau de routeurs domestiques et de dispositifs IoT (botnet) - appelés VPNFilter - que le service de renseignement ukrainien a déclaré qu’ils voulaient utiliser pour empêcher la diffusion de la finale de l'UEFA Champions League 2018 qui devait se tenir à Kiev en Ukraine cette année-là.

L’évolution dans les mesures de sécurité nationale au Japon se justifie également par le laxisme dans la sécurité des objets connectés. Forbes a rapporté que depuis cette année, il y a déjà eu une série d’incidents de sécurité dont un piratage des caméras de sécurité de Nest. Selon NHK World, l'institut a révélé que l'Internet des Objets a été ciblé dans 54 % des cyber-attaques qu'il a détectées en 2017, bien que l'adoption de l’IoT par le Japon soit inférieure à celle de la plupart des pays.

Nom : piratagefilm1.jpg
Affichages : 2332
Taille : 23,9 Ko

Une autre raison de sécurité rend légitime le plan des autorités japonaises. De nombreux botnets de routeurs et d'IoT actuels seraient construits par des pirates en prenant le contrôle de périphériques avec des mots de passe par défaut (que les utilisateurs n’ont pas personnalisé) ou faciles à deviner, bien que les pirates peuvent aussi procéder par des exploits et des vulnérabilités du firmware de ces dispositifs.

Toutefois, le plan de sécurisation du gouvernement japonais soulève des problèmes de sécurité évidents, en ce sens que tout appareil auquel les agents de l’institut accéderont avec succès pourrait donner accès à des données stockées, y compris des images de webcams ou des données d’entreprises. Dans une déclaration, Harumichi Yuasa, professeur à l'Institut de sécurité de l'information, a soulevé cette question.

Selon NHK World, M. Yuasa a déclaré que si les employés divulguaient l’identité des propriétaires des appareils auxquels ils auraient eu accès, cela constituerait une violation du droit constitutionnel à la vie privée de ces utilisateurs. L'institut a également affirmé qu'il gardera secrètes toutes les données obtenues dans le cadre de l'enquête.

Toutefois, il est difficile aujourd’hui pour des gens d’avoir confiance en ces promesses de confidentialité après une année particulière de crise de confidentialité aigue au cours de laquelle il a été découvert que les données personnelles des utilisateurs sont utilisées à d’autres fins que celles déclarées dans les termes de services par certaines entreprises telles que Facebook, qui a parfois utilisé les données clients comme monnaie d’échange. Les utilisateurs ne souhaiteraient pas également que leurs données soient utilisées par le gouvernement pour les surveiller à l’image de la Chine qui note les citoyens sur la base des données qu’elle détient sur eux. Il faudra noter également que l’amendement restera en vigueur pendant 5 ans, alors que l’échéance des Jeux Olympiques est pour seulement l’année prochaine.

Cependant, bien avant la mise en œuvre du plan gouvernemental, les consommateurs qui tiennent à la confidentialité de leurs données, pourraient remplacer le mot de passe actuel de leurs différents dispositifs IoT par un autre qui sera beaucoup plus difficile à deviner.

Source : NHK World, Forbes

Et vous ?

Que pensez-vous de ces mesures de renforcement de la sécurité des appareils IoT du Japon ?
Le plan japonais est-il suffisant pour déjouer toutes les attaques contre les dispositifs IoT ?
Peut-on encore faire confiance à un gouvernement au point de le laisser accéder librement aux données personnelles ?

Lire aussi

IoT : la Californie est sur le point de prendre une loi pour réglementer les objets connectés, et deviendra ainsi le premier État américain à le faire
IoT : des pirates s'appuient sur le thermostat connecté d'un aquarium pour pénétrer le réseau d'un casino, et extirper 10 Go de data
Une faille de sécurité de dispositifs IdO rend un demi-milliard d'appareils en entreprise vulnérables, les imprimantes sont aussi un vecteur d'attaque
IoT : plusieurs marques de caméras sur IP sont vulnérables à des attaques, d'après une publication de la firme de sécurité F-Secure
L'Inde est accusée d'être un « Etat de surveillance » après avoir autorisé 10 agences fédérales, à fouiner dans n'importe quel ordinateur