Cet article a été publié à l'origine sur le blog du Conseil technologique de Forbes. Cliquez sur le lien ci-dessous pour accéder à la version intégrale.
Imaginez que, pour une raison quelconque, vous appreniez que vous êtes la cible d'une cyber-mafia d'élite. Vous ne le prenez pas au sérieux jusqu'à ce que vous rouliez sur l'autoroute et que vous soupçonniez que quelqu'un a trafiqué votre véhicule. Voyant la circulation s'intensifier rapidement devant vous, vous freinez brusquement, mais rien ne se passe. Vous tentez de vous déporter sur l'accotement, mais le volant se déplace dans la direction opposée. Vous n'avez d'autre choix que de vous préparer à l'impact qui s'ensuivra.
Un tel scénario peut sembler relever de la science-fiction, mais ces dernières années, des chercheurs en cybersécurité ont prouvé la faisabilité de telles attaques. Dans le domaine de l'automobile, ce problème a conduit des chercheurs en sécurité à obtenir un certain degré de contrôle à distance sur un certain nombre de modèles de véhicules, comme la Jeep Cherokee en 2015 et la Tesla Model S en 2016. Des chercheurs ont également réussi des prouesses similaires sur des appareils médicaux, des équipements industriels et des caméras corporelles de la police.
L'un des points communs de ces attaques est que le fabricant de l'appareil en question n'a pas mis en place de processus de signature de code ou n'a pas pris la peine de signer le code qui s'exécute sur ces appareils. Lorsque vous signez un morceau de code, vous déclarez que l'adresse software provient de votre organisation et que vous la soutenez. Vous envoyez un message indiquant que le code répond à vos directives d'assurance qualité, à vos normes de sécurité, etc. C'est pourquoi les géants de la technologie comme Microsoft et Apple signent numériquement leurs correctifs et leurs mises à jour. Cela leur permet de dire : "Je n'installerai une mise à jour que si elle provient du vaisseau mère de l'entreprise et non d'un pirate".
