L’histoire commence le 16 mai 2018. Dans une petite salle au niveau -1 du centre de conférences du Kirchberg, deux experts israéliens en cybersécurité racontent une «expérience». L’audience est confidentielle. Le soleil brille. L’ICT Spring se termine. Beaucoup des 5.000 experts de 70 pays réunis pour deux jours ont quitté l’événement.
Les deux hackers sont allés à la cafétéria de l’hôpital le plus sécurisé d’Israël. Là, en une dizaine de minutes, ils ont pris le contrôle de tous les réseaux internet de l’hôpital, expliquent-ils. Dix minutes plus tard, ils ont récupéré tous les dossiers médicaux des femmes qui sont venues faire examiner un sein pour s’épargner un cancer.
Et encore 10 minutes plus tard, ils ont pris le contrôle de la température, entre autres, de toutes les salles d’opération. L’audience hésite entre sourire et inquiétude. «Monter ou baisser la température de 10 degrés a l’air complètement incongru», reconnaît, sur scène, un des deux chercheurs en cybersécurité. «Sauf quand vous êtes chirurgien et que vous êtes occupé à opérer un patient!»
Plus personne ne pense à sourire.
À l’étage, sur le stand de Digital Lëtzebuerg, on relativise: pas la peine d’alerter la population avec des cas fortement improbables.
Pourtant, il est tout aussi simple de modifier le rythme d’une perfusion ou d’arrêter un appareil d’assistance respiratoire, assurent .
2.500 milliards de données par jour
Ce jeudi, 18 mois plus tard, l’Américaine Rebecca Herold raconte une histoire similaire, à l’occasion du Cybersecurity Day chez PwC. À l’occasion d’une opération, elle regarde son environnement pour s’apercevoir que tous ces appareils médicaux sont connectés et que, mal intentionnée, elle pourrait en prendre le contrôle sans beaucoup de difficultés. «Quand j’en ai parlé au responsable de la sécurité informatique de l’hôpital, il a d’abord balayé la crainte en souriant. Mais un an plus tard, quand je suis revenue, les potentielles failles de sécurité avaient été corrigées.»
Mme Herold est une des pionnières de la vulgarisation des questions de sécurité. Elle a commencé à s’y intéresser en 2005, «quand personne ne parlait de cybersécurité», ajoute le Cybersecurity leader de PwC au Luxembourg, Koen Maris, pour la présenter. Depuis, la CEO de The Privacy Professor parcourt la planète, de conférence en conférence, pour faire comprendre le carnage qui s’annonce.
«Aujourd’hui, 2.500 milliards de données sont produites chaque jour à partir de 17 milliards d’appareils connectés», explique-t-elle. «Si chaque donnée était une pièce d’un penny, nous pourrions chaque jour couvrir la surface de la Terre cinq fois.» Une pièce d’un penny mesure 26,5 millimètres de diamètre. «D’ici 2035, le nombre de données produites chaque jour permettrait de recouvrir la Terre de 60 couches de pennies!»
Des données qui valent 20 à 50 fois plus
Selon le Journal de l’association américaine des médecins, depuis 2010, 70% des 2.149 attaques de pirates ont concerné les hôpitaux. Les organisations américaines qui délivrent des soins de santé ont concentré (88%, selon Solutionary, une filiale de NTT) des ransomwares, ces logiciels malveillants installés en un clic malheureux et qui réclament des paiements souvent en bitcoin. 89% ont vu des données leur échapper.
Le phénomène ne va pas disparaître. Pour plusieurs raisons. D’abord, que des données «classiques» comme des login d’adresses e-mail ou des numéros de carte de crédit.
, pronostique le directeur technique de Metamaven à Forbes.
Ensuite, si les hôpitaux ont en moyenne 10 à 15 appareils sensibles connectés, le nombre d’objets connectés passera de 27 milliards en 2017 à 125 milliards en 2030, a rappelé Mirko Ross, le CEO d’Asvin, une start-up allemande spécialisée dans le patch de ces objets.
Le boom des pilules connectées ingérables
La grosse tendance est dans les pilules ingérables connectées, qui peuvent avoir différents bénéfices, comme surveiller la température, le diabète ou les bactéries. Le marché devrait atteindre 1 milliard en 2024. Un marché auquel les scientifiques participent allégrement, pressés par des autorités nationales qui veulent réduire les coûts de santé.
Jusqu’au «pire». À Melbourne, des chercheurs ont ainsi créé un Guts Game, dont le principe consiste à ingérer une pilule connectée, puis essayer de battre un autre internaute en augmentant le plus rapidement possible sa température corporelle pour éliminer une bactérie. Objectif du jeu: favoriser l’adhésion de patients encore réticents à avaler une pilule connectée...
Pour Mme Herold, le développement de ce secteur n’est pas très différent de celui qui touche d’autres secteurs, que ce soit pour les voitures connectées, puis autonomes, ou pour les appareils permettant de surveiller ses enfants ou son chien. Un de ses slides évoque les chiffres de 5,4 milliards de jouets connectés et 341,6 milliards de TV connectées d’ici 2024.
«90% des entreprises à qui j’ai demandé de me montrer comment elles protégeaient les données n’en étaient pas capables», dit la mathématicienne sur la scène de l’auditorium de PwC. «Plus de données et plus d’appareils connectés donneront forcément lieu à davantage de pertes de données», résume-t-elle, fataliste.
100 millions de dégâts à Londres
En 2017, un hôpital britannique ciblé par le virus Wannacry avait amené à l’annulation de 19.000 rendez-vous avec des patients pour des raisons de sécurité. Le ministère britannique de la Santé a estimé les dégâts à plus de 100 millions de dollars.
Aux États-Unis, des stars d’Hollywood qui passaient toutes chez le même chirurgien spécialisé en chirurgie esthétique ont eu le bonheur de voir leurs petites opérations révélées au grand jour.
Autant d’exemples nettement plus graves que celui que la spécialiste américaine avait utilisé pour commencer. Ou comment .