Introduction au concept de smart city – Partie 2/2

À Singapour, le gouvernement a prévu de doter la cité de capteurs et caméras intelligentes afin de collecter le plus de données possible sur tout ce qui concerne l’activité urbaine (eau, trafic, ordures, énergie). Ces données seront directement mises en ligne sur la plateforme Virtual Singapore et accessibles aux membres du gouvernement. 73 millions de dollars ont été investis. Les gouvernements investissent massivement dans les smart cities. Dubaï prévoit d’investir 7 à 8 milliards de dollars dans ses projets de smart cities. La future ville connectée compte offrir l’Internet gratuit à travers 5000 hotspots Wifi. Dubaï investit également dans des systèmes intelligents de transports avec des capteurs de trafic, des applications en lien, et des véhicules intelligents. Les policiers pourront disposer de la technologie Google Glass afin de créer la police la plus intelligente du monde d’ici 2018 [15]. Aux États-Unis, le développement des villes intelligentes fait également partie des priorités. Le gouvernement a ainsi alloué près de 165 millions de dollars. Ces fonds sont destinés à soulager la congestion du trafic, améliorer la conduite et la sécurité des piétons. Pittsburgh recevra 11 millions de dollars dans le cadre de son initiative d’installer des feux de circulation intelligents, tandis que Denver recevra 6 millions de dollars pour connecter les véhicules afin d’atténuer la circulation pendant les heures de pointe [16].

En France, les smart cities commencent doucement à éclore. Dans la ville d’Issy-les-Moulineaux (92), la gestion de l’énergie est devenue une priorité. Initié en 2011, IssyGrid est le premier réseau de quartier intelligent en France. L’objectif est de réaliser des économies et de réduire l’empreinte carbone en optimisant les consommations et en mutualisant les ressources entre les entreprises, les commerces et les logements. Plus de 500 mètres carrés de panneaux photovoltaïques ont été installés sur trois sites et envoient l’électricité dans un centre de distribution intelligent, qui détermine les différents besoins et évite les pics de consommation. Une part du surplus de ce courant est stockée dans des batteries de voitures électriques recyclées. Mille logements, quatre immeubles de bureaux et une école bénéficient de cette énergie verte. Côté développement durable, tous les immeubles du quartier du Fort-d’Issy ont obtenu le label Bâtiment basse consommation (BBC) et consomment de trois à cinq fois moins d’énergie que la moyenne nationale.  Les transports en commun remplacent l’automobile, peu présente dans les rues. Même les camions-poubelles n’ont plus besoin de passer : les déchets sont jetés dans des bornes, puis aspirés dans des tuyaux souterrains. À Nice, la municipalité travaille sur la mise en œuvre de solutions connectées innovantes. Plusieurs milliers de capteurs permettent de gérer et d’améliorer la gestion des bâtiments, la qualité de l’air, la tournée des bennes à ordures, etc. Des applications mobiles telles que Spot Mairie, permettent aux citoyens de consulter des informations concernant les démarches administratives ou encore d’être alertés en cas d’alerte environnementale. Les expérimentations de smart grids sont également nombreuses comme Nice Grid, un quartier solaire intelligent situé dans la ville voisine de Carros. En 2015, Nice était nommée 4ème smart city à l’échelle mondiale par le cabinet Juniper Resaerch. Elle devançait même Singapour. Chaque ville ayant sa spécialité, Nantes s’est directement focalisée sur l’open data.

La ville de Nantes a été pionnière dans la collecte, la centralisation et l’ouverture des données aux citoyens. Le site data.nantes.fr recense des milliers de données diverses sur les transports, la démographie, le tourisme, les plannings des services publics comme le centre aéré… Ces données disponibles en licence libre ont permis à des développeurs de créer des applications qui facilitent la vie des citoyens et permettent des économies d’énergie. C’est le cas de Green Raid, qui recense, entre autres, les aires de covoiturage, les stations de voitures en autopartage ou encore les itinéraires cyclables. L’application « Nantes dans ma poche » a été lancée en mai 2015. C’est une application mobile dédiée à la vie quotidienne en situation de mobilité et qui facilite la vie des citoyens et usagers de Nantes Métropole. Des horaires d’ouverture des piscines aux places de stationnement, en passant par les horaires de bus, l’utilisateur a accès aux données en temps réel [17].

3. La cybersécurité, maillon faible des smart cities

3.1 Une sécurité négligée

Si les futures smart cities présentent un ensemble de solutions aux problèmes posés par le développement urbain et la gestion des infrastructures, il est nécessaire d’indiquer certaines limites relatives à la cybersécurité. Celles-ci sont induites par l’introduction des systèmes d’information dans l’armature urbaine. En effet, la majorité des nouvelles technologies déployées n’ont pas été testées auparavant. Comme dans l’Internet des objets, les industriels privilégient le « ease-of-use and quick deployment » au détriment de la sécurité. Une situation que confirme Cesar Cerrudo, Chief Technology Officer à l’IOActive Labs : « Dans toutes les villes que nous avons visitées dans le monde, nous avons trouvé de grossières failles de sécurité y compris pour des infrastructures critiques » [18]. La plupart des systèmes présents au sein des smart cities utilisent des communications sans fil et ont des problèmes liés à l’absence de chiffrement. Les serveurs d’une ville peuvent aussi être exposés à des attaques de déni de service.

Les réseaux à longue portée conçus pour les équipements à faible consommation (LPWAN) sont sensibles à l’interception de données ou à l’usurpation d’équipement. Un criminel peut envoyer des informations erronées semblant provenir de nombreux capteurs déployés sur le territoire national, faisant croire à une avarie généralisée. Les protocoles de communication à courte distance ne sont cependant pas plus sécurisés : la sécurité mise en place est bien souvent rudimentaire et peut être cassée après une interception d’échanges faiblement sécurisés ou encore contournée lors de la réalisation d’interception par une attaque de l’homme du milieu selon Renaud Lifchitz, expert senior chez Digital Security.

Autre menace dans l’écosystème de la smart city : la collecte de milliers de données personnelles. Mal sécurisées, elles pourraient être détournées par des criminels à des fins lucratives. En 2016, une série de ransomwares a touché des hôpitaux américains, canadiens, anglais et même français. L’attaque contre le Hollywood Presbyterian Medical Center situé à Los Angeles en est un parfait exemple. Survenu en février 2016, ce ransomware a paralysé le système d’information de l’hôpital pendant plus de 10 jours : les dossiers patients avaient été chiffrés, et certains équipements électroniques étaient devenus inaccessibles. Plus de 900 patients ont dû être transférés dans d’autres établissements de Los Angeles. Outre le chiffrement des données, celles-ci peuvent être revendues sur le darknet à très bon prix. À titre d’exemple, aux États-Unis, le numéro de sécurité sociale est bien plus sensible qu’en Europe dans la mesure où il s’agit d’un identifiant administratif majeur et a donc une valeur marchande [19].

3.2 Exemples de piratages

Dans le célèbre jeu vidéo d’Ubisoft, Watch Dogs, le héros, un cybercriminel nommé Aiden, évolue dans un Chicago où toutes les infrastructures sont gérées par un système informatique. Depuis son smartphone, il lance un malware sur le réseau et fait sauter l’électricité dans toute la ville. Une pure fiction ? En 2014, une équipe de recherche de l’Université du Michigan a démontré que les feux tricolores pouvaient être piratés. Sous la supervision des autorités locales d’une ville du Michigan, les scientifiques ont manipulé la cadence des feux de signalisation. Plusieurs scénarios d’attaque ont ainsi été testés : mise hors service, modification du calendrier des feux et désynchronisation. Ainsi, un attaquant pourrait facilement provoquer des embouteillages ou obtenir une série de feux verts sur un itinéraire. Les failles mises en évidence concernent principalement un défaut de chiffrement [20].

Le 26 novembre 2016, le métro de San Francisco a été victime d’un ransomware paralysant les distributeurs de tickets. Les criminels demandaient 100 bitcoins, l’équivalent de 69 000 euros, pour débloquer les terminaux. Fort heureusement, les ingénieurs ont fini par reprendre le contrôle du système informatique et le trafic est revenu à la normale le lendemain. L’agence n’a pas souhaité céder au chantage et s’est contentée d’utiliser les serveurs de secours qui contenaient des sauvegardes. Au total, seul un quart des ordinateurs de l’infrastructure a été touché par l’attaque (2 112 sur les 8 656 existants). Cet incident était sans réelle gravité puisqu’il a juste provoqué quelques pannes et a permis aux usagers de prendre le métro gratuitement [21].

L’impressionnante quantité d’appareils de l’Internet des Objets dans les futures villes connectées offre un important vecteur d’attaque à des personnes malveillantes. La récente cyberattaque contre des caméras à Washington en est un exemple illustratif. Un ransomware aurait en effet paralysé pendant plusieurs jours le réseau de caméras de surveillance municipale de Washington DC. La police a réalisé que quatre caméras municipales ne fonctionnaient pas correctement, et pour cause deux types de ransomwares ont été détectés au sein de ces caméras. Au total, 123 caméras sur les 187 connectées au réseau présentaient des signes d’infection. Une réinitialisation générale a permis de se débarrasser du malware [22]).

3.3 Scenarii de cyberattaques

Si à l’heure actuelle les piratages contre des infrastructures urbaines ne semblent pas répandus, le piratage simultané de plusieurs infrastructures d’une smart city combiné avec des attaques conventionnelles (de type cyberterrorisme) pourrait avoir des conséquences catastrophiques. La réaction à une attaque informatique sur une ville connectée serait à la hauteur de la complexité de ses infrastructures. En attaquant directement le système informatique d’infrastructures SCADA, des criminels pourraient forcer l’arrêt d’une centrale électrique, entraînant des coupures d’électricité voire un blackout. Le blackout d’une smart city entraînerait des pannes au niveau de la signalisation des feux tricolores, des lampadaires ou encore des transports en commun.

Des dangers relativement minimes comparés aux cyberattaques qui pourraient toucher des infrastructures sensibles (des pannes d’électricité dans des hôpitaux, le dysfonctionnement de barrages hydroélectriques ou encore le piratage d’usines de traitement de l’eau). À ce titre, des chercheurs en sécurité ont présenté lors de la conférence RSA de San Francisco un logiciel de rançon LogicLocker, permettant de modifier les automates programmables (PLC) qui contrôlent les infrastructures de contrôle industriel et d’acquisition de données dans un système industriel. Le logiciel créé par les chercheurs du GIT a permis, dans un environnement simulé, de prendre le contrôle d’une usine de traitement d’eau et de menacer de couper l’approvisionnement en eau ou d’empoisonner l’eau de la ville en augmentant la quantité de chlore. Une menace à prendre au sérieux étant donné la rapidité avec laquelle les ransomwares se propagent et évoluent [23].

Conclusion

La démocratisation de solutions connectées dans les villes, gage d’innovation et de compétitivité, ne doit pas faire occulter les risques sécuritaires de « l’informatique ubiquitaire ».  Cette situation est en effet un véritable écheveau : le développement d’infrastructures intelligentes, destinées à améliorer le quotidien des citoyens est confronté au manque de sécurité desdites infrastructures. Des vulnérabilités que ne manqueront pas d’exploiter des attaquants à des fins de sabotage, d’enrichissement personnel… De la gestion des risques de sécurité (confidentialité, disponibilité, intégrité…) aux risques liés à la manipulation de données personnelles (Loi Informatique et Libertés actuelle, Règlement général sur la Protection des Données en devenir…), en passant par toutes les démarches de sécurisation (prise en compte de la sécurité dans la conception, analyses de risques, audits de sécurité…), l’ensemble des parties prenantes doit réfléchir à comment structurer la ville de façon « intelligente », la sécurité étant l’un des piliers de la pérennité des futures smart cities, pour ne pas nous retrouver dans un scénario à la Die Hard. Par exemple, les villes devraient intégrer systématiquement des exigences de sécurité dans leurs appels d’offres afin que les fournisseurs proposent des solutions plus sécurisées que celles actuellement disponibles sur le marché.

Les enjeux sécuritaires auxquels seront confrontés les smart cities font écho aux futurs défis des territoires connectés : car au-delà de la ville, la révolution numérique touche également les campagnes. Après l’imagerie satellite, les tracteurs guidés par GPS ou encore les drones qui survolent les cultures et les élevages, les objets connectés se démocratisent dans les campagnes. Des capteurs sont mis en place dans les champs et permettent de fournir une batterie de données aux agriculteurs (température du sol et de l’air, humidité, pluviométrie) grâce à une application mobile simple d’utilisation. Pour autant les agriculteurs sont-ils vraiment préparés aux défis de l’agriculture numérique ?

Remerciements

Je tiens à remercier particulièrement Thomas Gayet et Stéphane Jourdois pour leur relecture attentive et leurs conseils avisés.

Références

[1] « World Urbanization Prospects », 2014 : https://esa.un.org/unpd/wup/publications/files/wup2014-highlights.Pdf
[2] « Strategic opportunity analysis of the global smart city market » : http://www.egr.msu.edu/~aesc310-web/resources/SmartCities/Smart%20City%20Market%20Report%202.pdf
[3] « The valuable citizens of smart cities : the case of Songdo City » : http://gjss.org/sites/default/files/issues/chapters/papers/GJSS%20Vol%2012-2%201%20Benedikt_0.pdf
[4] « The impact of the congestion charging scheme on air quality in London » : https://cfpub.epa.gov/si/si_public_record_report.cfm?dirEntryId=258325
[5] « Règlement (UE) N°347/2013 du Parlement Européen et du Conseil », avril 2013 : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:115:0039:0075:FR:PDF
[6] « Linky, le compteur communicant d’Enedis » : http://www.enedis.fr/linky-le-compteur-communicant-derdf
[7] « La France, en tête des investissements dans les smart grids en Europe », décembre 2015 : http://www.thinksmartgrids.fr/actualites/la-france-en-tete-des-investissements-dans-les-smart-grids-en-europe/
[8] « Un projet européen piloté par Enedis, pour expérimenter de nouvelles solutions en lien avec le réseau, afin d’améliorer la fiabilité d’un système électrique local » : http://www.enedis.fr/sites/default/files/Enedis_fiche_smartgrid_InterFlex.pdf
[9] « Villes collaboratives : le citoyen au cœur de la smart city », avril 2016 : http://www.objetconnecte.com/villes-collaboratives-citoyen-coeur/
[10] « International Case Studies of smart cities : Santander », juin 2016
[11] « Sécurité des objets connectés, Livre blanc de Digital Security », octobre 2016
[12] « Samsung and SK Telecom to launch world’s first nationwide network for the Internet of Things in South Korea », mai 2016 : https://techcrunch.com/2016/05/25/samsung-and-sk-telecom-to-launch-worlds-first-nationwide-network-for-the-internet-of-things-in-south-korea/
[13] « Open data et smart city : ouverture des données de transport », février 2017 : https://www.alain-bensoussan.com/avocats/open-data-smart-city-donnees-transport/2017/02/01/
[14] « L’Inde lance un programme pour créer des villes intelligentes », février 2016 : http://www.lemonde.fr/planete/article/2016/02/09/l-inde-lance-un-programme-pour-creer-des-villes-intelligentes_4862058_3244.html#ZZXpRcfxvHXeVxuw.99
[15] « 5 grands projets de ville connectée à travers le monde », mai 2016 : http://www.objetconnecte.com/20130-2/
[16] « Les États-Unis débloquent 165 millions de dollars pour la smart city », octobre 2016, http://www.objetconnecte.com/smart-city-usa-1710/
[17] « Les villes intelligentes : expériences françaises » : http://franceurbaine.org/sites/default/files/travaux/lesvillesintelligentes_experiencesfrancaises_f_15nov.pdf
[18] « Smart city : comment la ville connectée est devenue une véritable passoire », octobre 2016 : https://www.maddyness.com/innovation/2016/10/07/smartcity-ville-connectee-passoire/
[19] « Ransomware and Businessess 2016 », 2016 : http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ISTR2016_Ransomware_and_Businesses.pdf
[20] « Hacking traffic lights is amazingly really easy », août 2014 : http://thehackernews.com/2014/08/hacking-traffic-lights-is-amazingly_20.html
[21] « SF’s transit hack could’ve been way worse and cities must prepare, novembre 2016 : https://www.wired.com/2016/11/sfs-transit-hack-couldve-way-worse-cities-must-prepare/
[22] « Hackers hit D.C police closed-circuit camera network, city offcials disclose», février 2017 : https://www.washingtonpost.com/local/public-safety/hackers-hit-dc-police-closed-circuit-camera-network-city-officials-disclose/2017/01/27/d285a4a4-e4f5-11e6-ba11-63c4b4fb5a63_story.html?utm_term=.ab4ed127bd5a
[23] « Simulated ransomware attack shows vulnerability of industrial controls », février 2017,  http://www.rh.gatech.edu/news/587359/simulated-ransomware-attack-shows-vulnerability-industrial-controls

Julia JUVIGNY
Chargée d’études en cybersécurité – Digital Security – julia.juvigny@digitalsecurity.fr

Retrouvez cet article (et bien d’autres) dans MISC n°91, disponible sur la boutique et sur la plateforme de lecture en ligne Connect !