Nos smartphones sont-ils des bombes potentielles ? La question s’est posée après l’explosion coordonnée de téléavertisseurs et de talkies-walkies au Liban, qui a fait 15 morts et plus de 3 000 blessés il y a quelques jours. Certes, les smartphones sont distribués beaucoup plus largement que les appareils technologiques plus anciens comme les talkies-walkies et les téléavertisseurs. Mais cette attaque sans précédent en termes d’ampleur, attribuée à Israël, révèle aussi, selon certains experts, la difficulté de surveiller l’ensemble de la chaîne d’approvisionnement électronique.
Piratage de téléavertisseurs au Liban : « Une opération exceptionnelle mais cruelle et barbare » (Vincent Crouzet, ex-DGSE)
Pour l’instant, on ne sait pas exactement comment les assaillants ont procédé pour intégrer une charge de 3 grammes d’explosif dans les bipeurs. Cibler un engin pour le piéger a déjà été vu : les renseignements israéliens ont déjà mené ce type d’attaque, mais pas à cette échelle.
Pour Matthieu Dierick, expert cybersécurité chez F5, « il y a eu un problème dans la chaîne d’approvisionnement ».
« Soit ils ont réussi à entrer dans la chaîne de fabrication pour intégrer une charge explosive, soit ils ont intercepté des expéditions de bipeurs en route vers la livraison.. »
« Ils ont également pu créer une société écran qui aurait permis d’intégrer la chaîne de fabrication des beepers. », précise François Deruty, en charge des cybermenaces au sein de la société Sekoia.
Liban : l’armée israélienne élimine 16 membres du Hezbollah
La menace cyber concerne désormais aussi le matériel
« Cela montre qu’un pays a la capacité d’interagir avec la fabrication d’un produit, tant au niveau matériel que logiciel. Jusqu’à présent, le souci se portait surtout sur le logiciel, aujourd’hui la menace pèse aussi sur le matériel »le juge Matthieu Dierick.
Une grande partie de la chaîne d’approvisionnement mondiale en électronique passe par Taïwan ou d’autres pays d’Asie de l’Est. Cependant, la construction d’un appareil moderne implique des dizaines de pays, avec un nombre vertigineux de fournisseurs de composants, d’entrepreneurs et de sous-traitants, parfois dispersés dans différentes régions. Cette complexité rend parfois les contrôles de sécurité difficiles. Dans le cas des explosions au Liban, l’origine du sous-traitant qui les a assemblés reste floue.
Les téléavertisseurs portaient la marque du fabricant taïwanais Gold Apollo. Mais la société a déclaré que les appareils étaient « entièrement géré » par une société hongroise, BAC Consulting KFT. Le gouvernement hongrois a toutefois indiqué sur les réseaux sociaux que BAC ne disposait pas de site de production dans le pays.
Liban : Biden met en garde contre une « guerre généralisée »
Surveiller la chaîne d’approvisionnement comme celle de l’industrie agroalimentaire
Pour Matthieu Dierick de F5, la chaîne d’approvisionnement en électronique, aujourd’hui surveillée sur les questions d’environnement et de droit du travail, l’est moins en termes de sécurité. Alors qu’il est particulièrement visé par d’éventuelles interférences, étant particulièrement localisé en Chine. « Nous sommes attentifs à la sécurité de la chaîne d’approvisionnement agroalimentaire, il est désormais temps de se poser la question pour l’électronique »il décide.
Benoît Grunemwald, expert en cybersécurité chez ESET, rappelle que « Les défauts sont partout, dans tous les types d’industries » : « Un simple employé sans intention de nuire, mais trompé, peut très facilement se retrouver dans un processus où il modifie la chaîne d’approvisionnement. »
Les sous-traitants sont aussi régulièrement la cible d’attaques. Dans le monde cybernétique, la chaîne d’approvisionnement constitue un élément important de l’analyse des risques. C’est d’ailleurs un point réitéré dans la prochaine directive Nis2, dont le but est d’augmenter les compétences de plusieurs entités, rappelle-t-il. Il estime qu’il y aura sans aucun doute “un avant et un après” explosions au Liban. Ces attaques pourraient amener les constructeurs à revoir leurs procédures.
Michael Watt, expert supply chain chez Kroll, estime dans les colonnes de Washington Post que c’est aussi « un signal d’alarme pour que les gouvernements nationaux comblent d’éventuelles lacunes dans leurs propres contrôles douaniers ».
Cybersécurité : les États-Unis interdisent le logiciel russe Kaspersky
Un sujet de préoccupation au niveau de l’État
Au-delà de l’affaire des pagers, la surveillance de la fabrication du matériel, et notamment des objets connectés, est de plus en plus un sujet d’inquiétude au sein des gouvernements. Aux États-Unis, une loi interdisant la vente de véhicules connectés intégrant des technologies chinoises et russes a été présentée le 24 septembre. Le gouvernement a évoqué le risque pour la sécurité nationale. “Un accès malveillant aux systèmes de navigation pourrait permettre à des adversaires d’accéder et de collecter nos données les plus sensibles et de manipuler les véhicules sur les routes américaines”a justifié, dans un communiqué, le bureau de sécurité et d’industrie du ministère du Commerce. Cette mesure concernera les logiciels dès 2027, mais aussi les équipements électroniques (caméra, GPS, microphone) en 2029.
Auparavant, l’administration Biden avait fait pression pour que le plus grand producteur mondial de puces, la société taïwanaise TSMC, délocalise certaines de ses opérations aux États-Unis afin d’assurer la sécurité des clients américains. Matthieu Dierick estime que ces décisions rappellent celles qui concernaient le monde du logiciel quelques années plus tôt.
« La boutique d’applications Huawei a été interdite dans plusieurs pays par crainte de voir des applications compromises par des logiciels espions. Désormais, le souci concerne le matériel. C’était un cap que nous n’avions pas franchi, sauf pour les services de l’État et les opérateurs. Maintenant, on pourrait imaginer qu’un État exigerait d’Apple ou de Google qu’ils aient des conditions plus restrictives sur leurs appareils, comme s’assurer qu’il y a eu un contrôle des chaînes d’approvisionnement et que personne de l’extérieur n’est intervenu »fait-il remarquer.
Thunderbolt : l’Allemagne chasse les chinois Huawei et ZTE de ses réseaux 5G
Une attaque improbable contre les smartphones
En revanche, voir des smartphones bourrés d’explosifs reste peu probable pour François Deruty.
« Il est très différent de suivre la livraison de quelques milliers de téléavertisseurs et celle de millions de smartphones. Un pager est aussi assez petit, il y a deux vis derrière, ce n’est pas si compliqué de l’ouvrir. Ce qui n’est pas le cas du smartphone. »
“Les appareils modernes sont souvent protégés contre la surchauffe, il existe un dispositif de sécurité qui les empêche de prendre feu”ajoute Benoît Grunemwald. « Les smartphones ont également une très forte densité, contrairement aux téléavertisseurs et aux talkies-walkies où il y a peu de place. Pour un smartphone, il faudrait réduire quelque chose pour insérer un composant supplémentaire. Si vous réduisez la taille de la batterie de moitié, cela se verra certainement. »
