Sécurité périmétrique et objets connectés: attention danger !

En 2013, dans le cadre d'un plan de lutte contre l‘obésité, le Pentagone distribuait 2 500 bracelets Fitbit à son personnel militaire. Ces bracelets connectés, dont les données ont été utilisées par le site Strava pour cartographier les parcours empruntés par les sportifs, ont fini par trahir la position de certaines de leurs bases militaires.

Utilisé par 27 millions d'individus dans le monde, il se présente comme «le réseau social de celles et ceux qui s'investissent dans l'effort». Une carte accessible sur internet représente par des traits lumineux sur fond noir les parcours empruntés par les sportifs pour faire leur footing, du vélo, ou encore de la natation. Le but est de mettre en valeur les itinéraires d'entraînement les plus populaires, ou à l'inverse, les moins connus.

Certaines zones de conflits comme en Syrie, en Irak, au Niger ou à Djibouti sont situées en plein désert ou en rase campagne. Sur la carte de Strava, ces zones où aucune activité sportive n'est recensée par l'application apparaissent en noir. Au beau milieu de certaines d'entre elles, des traits lumineux attirent l'attention. Les seuls individus susceptibles d'utiliser Strava dans ces régions sont les troupes occidentales qui y sont postées. En zoomant sur la carte, on peut utiliser leurs parcours d'entraînement pour en déduire des informations sur la configuration de leurs bases militaires.

Est-ce que ce genre d'application possède une habilitation de sécurité, "Confidentiel Défense", "Secret Défense" ou encore "Très Secret Défense" ?

alt

La sécurité des sites sensibles

Vous l'aurez compris, la grande faille se situe en révélant l'emplacement de sites sensibles comme des bases militaires, des sites pétroliers, des zones sensibles, protégées par des personnes utilisant le bracelet connecté.

Beaucoup de militaires portent en effet leurs bracelets connectés tout au long de la journée pour calculer le nombre de pas qu'ils font. Par exemple, les concentrations de points lumineux à l'intérieur des bases peuvent indiquer l'endroit où les troupes mangent ou travaillent, et devenir des cibles pour des ennemis potentiels. Les traits lumineux qui partent des bases pour y revenir peuvent également correspondre aux itinéraires de patrouilles. Ces données offrent une mine d'information à quiconque voudrait attaquer ou piéger les troupes américaines à l'intérieur des bases ou aux alentours.

Sur l'image ci-dessous, vous pouvez observer le parcours précis des rondes de sécurité effectuées par le personnel militaire sur un site sensible en Syrie.

alt

Vous pouvez même savoir à la fin de la ronde, où va le personnel de sécurité puisque le bracelet est toujours connecté. Vous pouvez donc suivre l'itinéraire de la personne jusqu'à son camp de base. Sur l'image ci-dessous, vous apercevez à gauche le site sensible présenté ci-dessus, et à droite de l'image le camp de base où rentre le personnel de sécurité une fois la mission terminée.

alt

Le problème identifié pour les militaires américains peut facilement être transposé dans le privé avec des sociétés de sécurité ayant du personnel équipé de bracelets connectés ou applications de positionnement GPS.

Cerise sur le gateau, vous pouvez même identifier la personne avec l'ensemble de ses trajets, et si elle s'est connectée sur l'application avec son identifiant Facebook ou autre, vous avez même accès à son identité, ses photos, etc, ...

Objets connectés et sécurité

Morale de l'histoire, les dirigeants d'entreprises de sécurité pourraient interdire à leurs agents de sécurité le port d'objets connectés à titre personnel ou d'applications tierces autorisant la position GPS du rondier. Ces données pourraient être révélées un jour. Toutefois, certaines sociétés privées de sécurité équipent leur personnel d'objet connecté ou applications de positionnement GPS, dans le cadre de la protection du travailleur isolé. Posez-vous quand même la question de savoir qui peut accéder à ces données et si ces données sont stockées en toute sécurité.

Les clients des sociétés de sécurité pourraient eux aussi exiger une charte de qualité ou un contrat précis, mentionnant l'interdiction de tout type d'objets connectés au sein du lieu de la prestation pouvant compromettre ainsi la localisation du site sensible en question.

Dimanche, le porte-parole du Commandement central américain, John Thomas, a affirmé que l'armée américaine était en train d'étudier le problème. «Nous allons jeter un oeil sur notre règlement en la matière pour être certain de notre sécurité opérationnelle et de la protection de nos forces», a expliqué ce lundi le colonel Rob Manning, porte-parole du Pentagone. «La publication récente de données souligne le besoin d'être conscient de son environnement», a souligné le colonel. Un euphémisme pour dire que les militaires déployés dans des zones de conflit ou sur des bases plus ou moins secrètes devraient faire preuve de plus de prudence.
alt

Drones et sécurité des données

Rappelons que le 2 août 2017, une note de l'armée américaine dans laquelle il était demandé aux troupes américaines de « cesser toute utilisation et désinstaller les applications DJI, retirer les batteries et les unités de stockage des appareils » a été mise en ligne.

Ce que dit l’armée est résumé ainsi : « En raison de la prise de conscience des vulnérabilités des produits de DJI aux cyber attaques, il est demandé à l’US Army d’arrêter toute utilisation des produits DJI ». Le même cas de figure aurait-il pu arriver avec l'utilisation des drones ?

Les outils de DJI mémorisent toutes données de vol, y compris la date et l’heure, l’itinéraire exact, des photos, et même un enregistrement via le micro du smartphone, si le pilote le désire. Les données restent-elles sur le terminal mobile du pilote ? Normalement, elles ne sont envoyées sur les serveurs de DJI qu’à la demande du pilote. Certaines voix assurent que des données sont transmises sans accord préalable, de manière transparente, notamment au gouvernement chinois. Mais DJI a démenti formellement ces accusations, dans un long communiqué de presse.

Plusieurs forces de sécurité françaises, militaires et civiles, qui utilisent des appareils de DJI, ont déjà tiré la sonnette d’alarme pour la même raison. Car en effet on peut apprendre bien des choses en étudiant les vols de pilotes affectés à des missions critiques, ou même en simple entrainement.

alt