Récemment, la pagette et le walkie-talkie ont refait surface dans l’actualité pour de sinistres raisons. Mais ces évènements mettent en lumière les enjeux de sécurité physique reliés à la sécurité de la chaîne d’approvisionnement d’appareils utilisés dans le cadre d’opérations d’une organisation, quelles qu’elles soient. En effet, une agence de renseignement étatique aurait trafiqué, avec des explosifs, les appareils de communications utilisées par une organisation ennemie. Celle-ci n’a probablement fait aucune vérification sur les appareils, en démontant l’une d’elles par exemple, lors de leurs réceptions. Ou peut-être bien l’a tel fait, mais que des appareils trafiqués auraient passé à travers les dispositifs de surveillance, ce qui est tout à l’honneur de l’agence de renseignement.
Dans un cas comme dans l’autre, une étape pour vérifier qu’un outil n’a pas été trafiqué permet de vérifier que celui-ci remplit bien le rôle pour lequel il a été fabriqué. Car dans ce cas précis, peut-être que les explosifs n’étaient pas la seule façon de comment les appareils étaient trafiqués. Les communications étaient peut-être interceptées par exemple. Le point est qu’il est pertinent de contre-vérifier les prétentions d’un fournisseur de services d’un fabricant d’appareils particulièrement dans un milieu où une organisation à des ennemis clairement identifiés et où la bienveillance et le franc jeu ne font pas partit des règles du jeu.
Les tractations entre éléments ennemis qui se livrent une guerre qui ne semble pas avoir de fin peuvent sembler loin de notre réalité et de notre quotidien, mais les mêmes principes de contre-vérification peuvent s’appliquer plus près de nous que l’on pense. Par exemple, un gouvernement qui veut remplacer des systèmes de communication, bâtir un réseau de distribution d’énergie, installer des caméras de vidéosurveillance dans ses lieux de pouvoir, utiliser un logiciel pour surveiller ses infrastructures informatiques devrait inclure une étape de contre-vérification des éléments achetés pour s’assurer qu’il n’y a pas eu de trafiquage. Ce qui est arrivé à un groupe militant et politique pourrait aussi se produire à un gouvernement étatique. Dans ces milieux, il n’y a peu ou pas de limite infranchissable comme nous avons pu à nouveau le constater récemment.
Pour prendre un exemple concret, pendant plusieurs années, le gouvernement canadien a tergiversé sur la possibilité de laisser la compagnie chinoise Huawei pouvoir soumissionner sur les appels d’offres publics concernant l’implantation du réseau cellulaire 5G. D’un côté, la compagnie offrait des équipements de qualité à des prix compétitifs, mais d’un autre, il y avait une méfiance envers la possibilité d’espionnage et de trafiquage du réseau. Aurait-il été possible d’utiliser les équipements, mais de vérifier que les données soient subtilement envoyées de l’autre côté de l’océan Pacifique? Peut-être, mais cela aurait demandé une vigilance des tous les instants, des compétences techniques robustes et un engagement à long terme pour accomplir ce mandat.
Évidemment, ce n’est pas à la portée de tout un chacun de démonter un appareil pagette, s’assurer que les images des caméras de vidéosurveillance ne sont pas envoyées à une adresse IP inconnue ou qu’il n’y a pas de logiciel espion dans un programme informatique, mais pour n’importe quelle organisation d’envergure qui pourrait avoir quelque chose de valeurs, ce serait pertinent. L’espionnage industriel fait partie de la réalité des choses et la vigilance est un des seuls mécanismes de défense.
En conclusion, que ce soit des ennemis d’une guerre ouverte, de l’espionnage entre nations ou du vol de technologie entre entreprises, les équipements technologiques utilisés par les organisations peuvent être des portes d’entrée pour atteindre des cibles. Il faut rester prudent et vigilant spécialement si nous gravitons dans un environnement plutôt sensible.
Par Simon Benoît
Consultant en cybersécurité
