La NSA fait encore parler d’elle : cette fois-ci, ce sont nos appareils de santé qu’elle convoite !
Le 10 juin 2016 a eu lieu à Washington le Defense One Tech Summit qui réunissait des acteurs du secteur de la Défense et de l’IT afin d’échanger autour des synergies existantes et futures entre ces deux secteurs. À cette occasion, Richard Ledgett, député directeur de la NSA (National Security Agency) a pris la parole et s’est exprimé sur le potentiel de l’IoT pour cette agence, dont une des missions est de « pénétrer les réseaux des autres » pour en tirer des informations de valeur.
Il a ainsi révélé l’intérêt grandissant de la NSA pour l’internet des objets et en particulier pour les appareils biomédicaux (pacemakers, capteurs …). Cette révélation ne fait qu’alimenter le fantasme d’une organisation omnisciente capable de contrôler nos vies dans les moindres détails et renforce l’image polémique de cette entité.
Un puissant outil de tracking
L’IoT est présenté comme une source importante d’informations mais aussi comme un challenge. D’après Ledgett, c’est la complexité introduite par les objets connectés, leurs échanges, leur écosystème qui, de manière paradoxale, facilitera la tâche de la NSA pour pénétrer les systèmes. En effet, plus un système est complexe, plus il est difficile de sécuriser toutes les briques qui le composent et plus l’apparition de failles de sécurité est fréquente : « Quand vous mettez à jour un logiciel, vous introduisez des vulnérabilités ».
De manière plus concrète, les objets connectés permettront d’améliorer l’efficacité opérationnelle des équipes de renseignement sur le terrain. L’un des cas d’usage présentés consiste en la détermination de la présence d’un individu précédemment identifié comme dangereux près d’un lieu d’opération, grâce à la traque des signaux émis par son pacemaker !
Être capable de tracer aussi finement les déplacements d’un individu représente des risques que l’on peut facilement s’imaginer : espionnage par l’employeur, prise en main par un tiers de ces appareils de santé, neutralisation d’un patient à distance, …
Big Brother : mythe ou réalité ?
La capacité de la NSA à collecter les informations fournies par ces appareils et les traiter est toutefois fortement limitée par les moyens technologiques et humains nécessaires à leur accomplissement. L’augmentation exponentielle du nombre d’objets connectés en est une des raisons : on estime qu’en 2020, il en existera 30 milliards !
L’IoT est une brique significative sur lequel se fonde le Big Data aujourd’hui car tous ces objets peuvent générer des quantités faramineuses de données en quelques secondes.
L’un des enjeux est donc d’être capable de traiter cet important volume de données et de pouvoir le faire en temps réel. Des travaux ont déjà été menés par la NSA pour réduire le temps de traitement des données. Néanmoins, des choix sur les technologies étudiées doivent être faits pour concentrer leurs efforts, en prenant comme critère leur adoption par les populations qu’ils souhaitent cibler.
Ils justifient ainsi leur incapacité à aider la CIA à débloquer l’iPhone d’un des tueurs de la fusillade de San Bernardino en Californie, ces smartphones ne semblant pas être largement utilisés par les personnes qu’ils traquent habituellement.
La santé du patient avant tout
La sécurisation des objects connectés de santé présente des contraintes spécifiques à l’industrie de la santé : la criticité des données manipulées et les potentiels impacts sur la vie du patient rendent à la fois essentielle et complexe la mise en place de dispositifs de sécurité.
Une part importante des appareils biomédicaux intègrent des capteurs permettant la remontée d’indicateurs de la santé du patient. Ces données ont pour but d’être collectées pour être visualisé de manière à faciliter leur analyse. Des interfaces sont disponibles pour les transmettre au médecin qui peut ainsi émettre un diagnostic. C’est dans cette optique que se développe actuellement la télémédecine, moyen de monitorer la santé de patients à distance et minimiser le nombre d’hospitalisations pour les patients à lourdes pathologies.
Un danger important quant à la protection infaillible de ces appareils est qu’un dispositif de sécurité accru pourrait rendre l’appareil inaccessible en cas de problèmes et mettre en danger la vie du patient.
De plus, sécuriser ces capteurs est très coûteux en matière de CPU, de bande passante mais aussi et surtout d’énergie ! Cette augmentation de la consommation énergétique diminue la durée de vie de ces appareils qui vont alors parfois demander des opérations chirurgicales supplémentaires pour leur remplacement et par conséquent représenter des coûts plus élevés.
Jusqu’à présent, une opposition forte s’est installée entre sécurité nationale et protection de la vie privée. Récemment, un changement s’est opéré et la question se situe aussi au niveau de l’individu qui pourrait être à l’avenir forcé de choisir entre la protection de sa santé et celle de sa vie privée. Le challenge pour les acteurs qui se lancent dans l’IoT, en particulier les industriels de la santé, est aujourd’hui de trouver le bon équilibre entre performance énergétique et sécurité des données.
Pour en savoir plus, visualisez l’interview complète de Richard Ledgett.