Aujourd'hui, l'internet des objets (ou IdO) fait partie intégrante de notre vie. Les thermostats connectés à l'internet nous permettent de prendre de meilleures décisions en matière d'énergie et nous pouvons surveiller nos maisons, même lorsque nous sommes à des milliers de kilomètres, grâce à des caméras de sécurité connectées. Alors que le grand public a été exposé à l'IdO avec des produits de consommation, l'introduction de la 5G au cours des dernières années marquera le début de l'utilisation à grande échelle de l'IdO commercial/industriel. Depuis des décennies, la législation impose aux fournisseurs de services de communication (FSC) d'aider les forces de l'ordre dans leurs enquêtes. Et comme la voix analogique a migré vers la VoIP et la VoLTE et que l'accès commuté a migré vers le FTTx et le haut débit mobile, les exigences en matière d'assistance ont également migré. Mais qu'en est-il des dispositifs IdO, quelle est leur place dans le monde de la réglementation et des enquêtes des services répressifs ?
Législation sur les écoutes téléphoniques
Tout d'abord, un peu d'histoire sur la législation applicable aux écoutes téléphoniques. Avant 1967, les écoutes téléphoniques étaient très peu réglementées. Plusieurs arrêts de la Cour suprême limitant les écoutes téléphoniques ont incité le Congrès à adopter l'Omnibus Crime Control and Safe Streets Act en 1968. C'est au titre III de ce document qu'ont été définies les protections de la vie privée et les exceptions légales à ces protections (c'est-à-dire les écoutes téléphoniques), leur utilisation autorisée et leur contrôle. En 1986, l'Electronic Communications Privacy Act (ECPA) a été adopté et a étendu le concept d'écoute téléphonique aux transmissions de données. Le titre II de l'ECPA (c'est-à-dire le Stored Communications Act ou SCA) prévoit des protections de la vie privée pour les enregistrements stockés et fournit les moyens légaux permettant aux forces de l'ordre d'y avoir accès. L'ECPA aborde également le concept de Pen Register et de Trap and Trace Devices.
Jusqu'au milieu des années 1990, les écoutes téléphoniques étaient effectuées légalement par les forces de l'ordre et sous le contrôle des tribunaux afin de garantir la protection de la vie privée. Toutefois, il appartenait aux forces de l'ordre d'installer leur propre matériel d'écoute. En 1994, la loi CALEA (Communications Assistance for Law Enforcement Act) a été adoptée, obligeant les FSC à modifier/activer leurs installations pour aider les forces de l'ordre à procéder à des écoutes. En 2006, la Commission fédérale des communications a décidé que toutes les communications passant par l'internet (y compris la VoIP) étaient couvertes par la CALEA. Il en résulte que si vous êtes un FSC et que vous offrez un service de communication (tel que VoIP ou VoLTE) ou que vous fournissez un accès à l'internet, vous devez être en mesure de fournir le contenu des communications (CC) et/ou les informations liées à l'interception (IRI) en temps réel aux services de police.
Dispositifs IdO et écoutes téléphoniques
Un appareil IoT est une machine numérique qui est identifiable de manière unique et qui peut transférer et recevoir des informations sans nécessiter d'interaction humaine. La plupart de ces appareils sont "toujours actifs", ce qui signifie qu'ils font leur travail 24 heures sur 24 et 7 jours sur 7. Par exemple, votre Amazon Echo enregistre en permanence ce qui se passe près de lui si vous dites "Alexa..." ; votre Apple Watch enregistre en permanence vos signes vitaux et votre position afin que vous puissiez suivre votre santé ou votre programme d'exercices ; et votre caméra de sécurité diffuse en permanence la vue du pas de votre porte en cas d'événement. Quels services répressifs ne souhaiteraient pas avoir accès en temps réel à un appareil Echo placé sur le bureau d'un trafiquant de drogue ou surveiller la localisation en temps réel d'une iWatch portée par une personne soupçonnée de terrorisme ? Les forces de l'ordre peuvent-elles émettre une décision de justice en temps réel sur un appareil IoT ?
La réponse est oui, mais seulement si le FSC vend ce dispositif au consommateur avec un service de communication. De nombreux appareils entrent aujourd'hui dans cette catégorie - par exemple, les montres équipées d'un GPS et d'un service cellulaire qui permettent aux parents de rester en contact avec leurs enfants. Et très bientôt, les voitures autonomes, les drones de livraison et d'autres technologies de pointe entreront dans cette catégorie.
Même si le CSP ne fournit pas l'appareil IoT, les services répressifs peuvent toujours sécuriser les flux en temps réel en axant l'ordonnance judiciaire sur le CSP et le service de communication spécifique par lequel l'appareil IoT se connecte. Dans ce scénario, plusieurs questions peuvent se poser : 1) comment interpréter les communications de l'appareil IoT ; 2) le flux provenant de l'appareil IoT est-il crypté ; et 3) où se trouve le service ?
En supposant que les communications de l'appareil IoT soient en clair (non cryptées), les services répressifs doivent être en mesure de donner un sens à ce trafic. Pour que l'appareil IoT communique avec le service en nuage, il doit d'abord utiliser des protocoles standard au niveau du réseau (tels que TCP ou HTTP). Cependant, la manière dont l'appareil communique ensuite est entre les mains des développeurs qui ont créé l'appareil. En d'autres termes (pour reprendre l'exemple précédent), si vous avez un accès en temps réel au flux d'un haut-parleur intelligent, cela ne signifie rien si vous ne pouvez pas décoder le flux et transformer les bits et les octets en audio que vous pouvez écouter.
Les responsables de la cybersécurité discutent souvent de la menace que représentent les appareils IoT. Les entreprises qui fabriquent ces appareils doivent choisir entre un faible coût unitaire (en éliminant l'assistance au cryptage matériel) ou une baisse des performances (pour prendre en charge le cryptage logiciel). Un choix similaire se présente pour le délai de mise sur le marché par rapport à la conception de fonctions de sécurité et de protections. En conséquence, de nombreux dispositifs IoT fournissent des flux qui sont à la fois non chiffrés et intrinsèquement non sécurisés.
Lorsque le flux d'un appareil IoT vers le nuage est crypté, les forces de l'ordre peuvent s'appuyer sur le SCA pour récupérer toutes les communications stockées pour cet appareil. Ce qui est disponible dépend largement de ce à quoi le propriétaire de l'appareil IoT s'est abonné auprès du service en nuage - dans le cas d'une caméra de sécurité domestique, cela signifie la différence entre une vidéo et un son 24 heures sur 24, 7 jours sur 7, ou des clips de 5 secondes en cas de mouvement. Pour qu'un enquêteur des forces de l'ordre puisse envoyer un ordre SCA à un fournisseur, ce service en nuage et les données doivent se trouver aux États-Unis. S'ils se trouvent en dehors des États-Unis, d'autres procédures longues doivent être mises en œuvre.
Les protections prévues par l'ECPA et le SCA empêchaient les services en nuage basés aux États-Unis d'aider les services répressifs étrangers (dans le cas où la communication était destinée à un citoyen américain ou émanait d'un citoyen américain). De plus, même lorsque le service d'informatique dématérialisée était basé aux États-Unis, les données étaient souvent hébergées en dehors des États-Unis, ce qui ne permettait pas de déterminer clairement quelles lois prévalaient. Tout cela a été réglé avec la loi Clarifying Lawful Overseas Use of Data (CLOUD) Act de 2018. (Changements pour les CSP, les services cloud et les forces de l'ordre américaines et étrangères suite à la loi CLOUD dans un prochain article de blog).
Le nouveau paysage de la criminalité avec les dispositifs IdO
Comme nous le savons, le fait de connecter des appareils à l'internet et que nombre de ces appareils ne soient pas sécurisés crée un environnement naturel et riche en cibles pour les pirates informatiques. Cependant, une autre tendance se dessine : l'intersection de la 5G, des appareils connectés et de la criminalité traditionnelle.
Avec l'augmentation du nombre d'appareils par zone, l'augmentation de la bande passante et la diminution de la latence, la 5G permet l'émergence de nouvelles technologies telles que l'informatique mobile en périphérie. Si la virtualisation et l'automatisation ne sont pas des concepts nouveaux, la conception des réseaux 5G les intègre et les FSC mettent en œuvre leurs propres nuages privés. De même, le concept de véhicules autonomes, de réalité virtuelle ou de réalité augmentée n'est pas nouveau, mais les caractéristiques de la 5G les rendent commercialement viables. Tous ces changements se recoupent pour créer un nouveau paysage criminel, de nouveaux crimes et un besoin de nouveaux outils d'investigation. En voici quelques exemples :
- Lorsque vous combinez la 5G avec des véhicules autonomes (IoT) et des trafiquants de drogue, vous obtenez un système de distribution de drogue fonctionnant 24 heures sur 24, de n'importe où, dans le monde entier. Qui arrêter et inculper ? Quelles preuves pouvez-vous utiliser ?
- Lorsque vous combinez la 5G avec des thermostats connectés (IoT) et des pirates informatiques, vous disposez d'un vecteur pour provoquer des coupures de courant ou des actes de terrorisme domestique sur une vaste zone géographique. Comment un enquêteur peut-il déterminer s'il s'agit d'un acte coordonné ou d'une coïncidence ? Comment engager des poursuites ?
Il ne fait aucun doute que l'IdO permettra de moderniser des délits anciens. Mais nous pourrions bientôt assister à l'apparition d'un tout nouveau paysage criminel. Cela nécessitera des changements dans la manière dont les renseignements légaux sont déployés et utilisés, ainsi qu'une révision des capacités et des techniques d'enquête des services chargés de l'application de la loi.
Résumé
La tendance à connecter les appareils à l'internet (IoT) ne fait que commencer. Les appareils deviennent plus intelligents et de nouvelles catégories d'appareils sont créées, que nous n'avons pas encore imaginées. Une grande partie de cette croissance coïncide avec le lancement des réseaux 5G. Cela est dû à l'augmentation du nombre d'appareils par zone, à l'augmentation de la bande passante et à la réduction de la latence inhérente à la 5G.
Si, par définition, les dispositifs IdO ne nécessitent pas d'interaction humaine, ils gèrent une multitude d'informations allant des statistiques vitales sur la santé d'une personne au son et/ou aux images de ce qui se passe autour d'elle. Les services répressifs s'intéressent vivement aux informations stockées ou transmises par ces dispositifs et disposent des moyens de recueillir ces informations, soit en temps réel, soit sous forme de données stockées. Le défi consiste à tirer parti de ces informations et à surmonter les obstacles juridiques qui surgissent en fonction du pays où réside le propriétaire de l'appareil, du pays où réside le fabricant de l'appareil et de l'endroit où sont stockées les données collectées par le fabricant.
Les recherches en matière de cybersécurité ont montré que les dispositifs IoT sont utilisés par les pirates comme point d'entrée dans les réseaux. La plupart des dispositifs IoT n'utilisent pas le cryptage et manquent de mesures de sécurité fondamentales, ce qui en fait une cible facile. Avec les innovations attendues de la 5G (par exemple, les villes intelligentes ou les véhicules à conduite autonome), il est inévitable que ces dispositifs IdO soient utilisés pour commettre un délit. La surveillance de ces dispositifs à des fins de preuve sera aussi courante que la mise sur écoute d'un téléphone portable aujourd'hui. Cela nécessitera une mise à jour de la réflexion sur le renseignement licite des dispositifs IoT et des outils utilisés pour enquêter sur les preuves collectées à partir de ces dispositifs.
SS8 Xcipio permet de fournir des renseignements légaux sur des identifiants d'appareils IoT spécifiques et de collecter ces communications à partir d'éléments de réseau (par exemple, des routeurs et des commutateurs) ou d'appareils passifs. SS8 Intellego offre aux forces de l'ordre la possibilité de lire ou de reconstruire des informations à partir de ces communications. SS8 PXE (moteur d'extraction de protocole [bibliothèque de décodage de protocole]) permet de décoder et de donner un sens aux communications IoT, qu'elles soient en clair ou cryptées.
À propos de Kevin McTiernan
Kevin a plus de 20 ans d'expérience dans les secteurs des télécommunications et de la sécurité des réseaux. Chez SS8, Kevin est vice-président des solutions gouvernementales et est responsable de la vision, de la conception et de la livraison des solutions gouvernementales de SS8, y compris le portefeuille de conformité Xcipio®.
À propos de SS8
SS8, une société de renseignement sur les réseaux, fournit des solutions pour aider les clients à identifier, suivre et enquêter rapidement sur les appareils et les sujets d'intérêt. L'entreprise travaille en étroite collaboration avec les principales agences de renseignement, les fournisseurs de communication, les organismes chargés de l'application de la loi et les organismes de normalisation. Basée dans la Silicon Valley et disposant de bureaux de vente et d'assistance aux États-Unis et au Royaume-Uni, SS8 est présente dans plus de 30 pays et soutient des réseaux comptant près d'un milliard d'abonnés. Pour plus d'informations, visitez le site www.ss8.com.
