Photo by Thomas Jensen on Unsplash

Quand l’État se fait pirate informatique… pour le bien collectif

Selon certains médias, le Japon serait à organiser la pénétration informatique de millions de routeurs, de caméras et d’autres objets connectés de citoyens dans ce pays. Contrairement à ce qu’on pourrait penser, cependant, loin de s’avérer trop sordide, la manœuvre aurait plutôt pour but d’aviser les propriétaires des appareils en question de problèmes de sécurité.

Le Japon aurait d’ailleurs adopté une loi récemment donnant à son Institut national de l’information et des technologies de communications (l’« INITC ») le pouvoir d’effectuer l’enquête en question. Loin de s’avérer aussi ésotérique qu’on pourrait le penser, il semble que l’approche de l’INITC sera simple : essayer de se connecter aux millions d’appareils connectés situés au Japon à l’aide des identifiants et mots de passe configurés par défaut par leur fabricant. Étonnamment, encore aujourd’hui, malgré des avertissements répétés ad nauseam sur Internet depuis vingt ans, de nombreux acheteurs d’appareils et de périphériques connectés ne se donnent jamais la peine de modifier le mot de passe par défaut de leur appareil. (Oui, vraiment.) C’est évidemment là un problème majeur pour la cybersécurité à l’échelle planétaire, puisque nombre d’attaques sont réalisées et rendues possibles grâce à ces usagers négligents dont les appareils demeurent accessibles sur Internet.

L’approche japonaise montre bien à quel point l’inquiétude face à la cybersécurité gagne de plus en plus les hauts responsables gouvernementaux à l’échelle planétaire, dans un monde où le laisser-aller quant à la sécurité nous a graduellement amenés au bord de ce que plusieurs experts décrivent comme un gouffre d’intrusions informatiques cauchemardesques à grande échelle dans la période à venir, si la collectivité des usagers et des fabricants d’appareils ne corrige pas le tir.

Plusieurs soutiennent d’ailleurs que la loi devrait interdire aux fabricants de routeurs et d’appareils connectés de les vendre munis d’identifiant et de mots de passe par défaut et qui s’appliquent à tous les appareils d’une même marque ou d’un même modèle. Le projet de loi californien sur l’IdO (IoT) de l’an dernier vient d’ailleurs interdire cette pratique.

Pas que le gouvernement canadien ait le genre de courage pour faire d’une approche comme celle-là ne serait-ce qu’une réelle possibilité, mais disons que nous pourrions certainement bénéficier d’une réflexion à ce sujet. Tiens, commençons tout de suite : avez-vous modifié le mot de passe de votre propre routeur et de vos appareils connectés en les achetant et/ou les installant? Ouin, c’est bien ce que je pensais.