La sécurité, talon d'Achille de la 5G ?
Si la téléphonie mobile de cinquième génération corrige les failles de la 4G, la nouvelle norme accueillera des services critiques dans la smart city ou l'usine du futur. L'explosion du nombre d'objets connectés augmentera aussi la surface d'attaque.
En elle-même, la 5G se veut plus sûre que le standard actuel. Un smartphone 4G envoie en clair son International Mobile Subscriber Identity (IMSI), un numéro unique qui permet d'identifier un usager. Se présentant, comme une station de base factice, un IMSI-catcher peut intercepter ces données sensibles à distance. La 5G chiffrera, elle, la communication dès les premiers échanges. Elle déjouera aussi les attaques dites de l'homme du milieu (HDM) qui consistent, par exemple, à détourner un serveur de DNS (DNS spoofing) pour rediriger son trafic vers un serveur DNS pirate et en récupérer le contenu.
En soi, la 5G n'apportera donc pas par de nouvelles vulnérabilités. En revanche, les services innovants qu'elle supportera augmenteront la surface de risque. "Usine 4.0, smart city, véhicule autonome... Les usages associés à la 5G sont particulièrement critiques", rappelle Guillaume Vaquero, senior manager et expert en digital et technologies émergentes chez Wavestone. "Tous les mécanismes de sécurité possibles devront être implémentés pour sécuriser les transmissions sensibles. Il y a aussi un enjeu de standardisation pour que le même niveau de sécurité soit assuré sur toute la chaîne par les divers acteurs qui y interviennent. Dans la smart city des communications sensibles pourront être échangées entre les gestionnaires d'eau et d'électricité, les transporteurs publics ou la municipalité."
Des botnets d'objets connectés zombies
En densifiant le réseau, la 5G donnera le véritable coup d'envoi de l'internet des objets. Mais là encore, attention danger. "Des dizaines de milliards d'appareils intelligents présents dans la santé, l'industrie, les bâtiments intelligents ou l'automobile seront connectés en 5G", estime Philippe Rondel, cyber évangéliste chez Check Point Software Technologies France. "Or, seule une infime partie d'entre eux possède des fonctions de sécurité au-delà du mot de passe". Résultat : des hackers pourraient aisément pirater des centaines voire des milliers d'objets connectés 5G, de type caméras de surveillance IP ou capteurs industriels, en vue d'exploiter leur puissance en les mettant en réseau (on parle alors de botnets d'objets connectés zombies) au profit d'attaques massives en déni de service (DDoS). La vague d'attaques qui avait sévi fin 2016, touchant notamment OVHcloud, pourrait n'être qu'un aperçu de ce qui nous attend.
La négligence des fabricants est pointée du doigt. "Ils font la course pour être les premiers à mettre sur le marché de nouveaux objets connectés, poursuit Philippe Rondel, mais la sécurité passe après. Il y a plus généralement un manque de culture en cybersécurité chez ces acteurs comme dans l'informatique d'il y a 20 ou 30 ans." A leur décharge, ces constructeurs sont contraints par le peu de ressources embarquées et par un système d'exploitation allégé. L'Internet Society a développé un cadre de confiance pour IoT, l'Online Trust Alliance (OTA), pour aider à la fois les fabricants à intégrer cette démarche, de la conception jusqu'au cycle de vie complet du produit, et les entreprises à évaluer la confidentialité et la sécurité des objets connectés avant leur acquisition.
Micro-agents et edge computing
La responsabilités est également dans le camps des entreprises. Une étude de Check Point montre que 90% d'entre elles possèdent des objets connectés non approuvés sur leurs réseaux. Avec l'essor du BYOD, ils sont le plus souvent connectés à l'insu des équipes IT ou de sécurité. Pour Philippe Rondel, il y a aussi un problème de délimitation de périmètre. "A tort, les objets connectés sont considérés comme étant en dehors du réseau d'entreprise. Certains dépendent de la production, d'autres des services généraux et non de la DSI. C'est au RSSI, qui ne doit pas dépendre de la DSI mais des risques, de prendre ce sujet à bras le corps", argue l'expert.
Si rien n'est fait, les communications vers et depuis les appareils 5G pourront contourner le réseau d'entreprise et ses contrôles de sécurité. Avec les attaques par rebond, n'importe quel objet 5G pourra offrir une porte d'accès au réseau IP traditionnel. Aux Etats-Unis, un casino a déjà été hacké depuis un thermomètre d'aquarium connecté. La menace en entreprise pourrait venir d'une simple ampoule connectée ou d'une machine à café intelligente qui prévient quand il faut la recharger.
"Des micro-agents peuvent contrôler chaque attribut entrant et sortant de l'appareil 5G tout en le connectant à une architecture de sécurité consolidée"
Il existe un certain nombre de bonnes pratiques dédiées à la sécurisation de l'IoT. A défaut de sécurité "by design", il s'agit tout d'abord de modifier les paramètres et les mots de passe par défaut de type "admin" ou "1234" et mettre à jour les firmwares des terminaux. Il convient ensuite de dresser un inventaire exhaustif de tous les objets connectés présents dans l'entreprise puis d'adopter une stratégie de "containerisation". Des solutions d'EMM (enterprise mobility management) permettent de laisser seulement les objets autorisés accéder au système d'information.
Selon Philippe Rondel, des entreprises pourraient aussi faire le choix d'abandonner leur réseau filaire (LAN) ou leur infrastructure wifi au profit de la 5G. Face à cette connectivité sans fil permanente, les RSSI dispose de tout un arsenal, de l'authentification des utilisateurs au chiffrement en passant par les pare-feu. Mais pour Philippe Rondel, le modèle de protection périmétrique montre ses limites face à ces nouvelles menaces et une autre approche est nécessaire. "La sécurité doit être constante, mais entièrement modulable, pour faire face à la bande passante massive de la 5G", explique-t-il.
Il s'agit, selon Philippe Rondel, de disposer d'une prévention avancée des menaces pour protéger les ressources IT où qu'elles se trouvent. Prêchant pour sa paroisse (Check Point commercialise la solution Infinity Next), il prône l'utilisation de plugins de sécurité fonctionnant sur n'importe quel environnement. "Ces micro-agents peuvent contrôler chaque attribut entrant et sortant de l'appareil 5G tout en le connectant à une architecture de sécurité consolidée pour renforcer la protection", détaille Philippe Rondel. "Cette approche va de pair avec le développement de l'edge computing qui consiste à traiter les données au plus proche des objets connectés plutôt que de les transférer dans le cloud pour assurer cette opération." Ce traitement en mode local offrirait davantage de garanties à la fois en termes de sécurité et de respect de la vie privée.
Le pire à venir ?
Les principales menaces pourraient toutefois venir dans un second temps avec l'avènement de la 5G dite standalone attendue à partir de 2023. Le cœur du réseau mobile reposera alors exclusivement sur la nouvelle norme. Avant cela, les opérateurs auront procédé à sa virtualisation afin de faire abstraction de l'infrastructure sous-jacente. En devenant programmable, le cœur de réseau tirera pleinement bénéfice de la 5G. Avec la technique du network slicing, il sera ainsi possible de déployer des composants réseaux de façon dynamique.
"Cette logicielisation du cœur de réseau présente beaucoup d'avantages mais avec des contreparties sur la sécurité", reconnait Mathieu Lagrange, directeur réseaux & sécurité à l'Institut de recherche technologique b<>com. "Ce que l'opérateur gagne en agilité, il le perd en maîtrise de la sécurité. Jusqu'alors, le cœur de réseau était composé d'équipements en grande partie matériels, dont la protection était facilitée. Une fois virtualisés, ils seront beaucoup plus tournés vers l'extérieur."
Pour Mathieu Lagrange, c'est un vrai changement de culture pour les opérateurs. 'Il s'agit d'automatiser et orchestrer la politique de sécurité. Elle doit faire intrinsèquement partie d'un déploiement, et non étudiée dans un second temps. Cela suppose une coordination des équipes réseau et de cybersécurité, sachant que cette dernière peut avoir un impact sur la qualité de service." L'expert renvoie aux recommandations de l'Anssi et de ses équivalents britannique (NCSC) et américain (Nist). Trois agences gouvernementales qui prônent une approche commune de la sécurisation des réseaux, avec à la clé sur cinq piliers : l'identification et l'analyse de risques, la protection, la détection des incidents de sécurité, la réponse appropriée et, enfin, le rétablissement de la qualité de service (recovery).