Le gouvernement japonais va essayer de pirater les appareils connectés à Internet dans les foyers et les bureaux de tout le pays à partir du mois de février. Oui, vous avez bien lu : il va tenter de pirater les appareils de tous les citoyens et entreprises…

Mais c’est pour la bonne cause : cette initiative a pour objectif de mettre en relief leur éventuelle vulnérabilité et de les inviter à prendre des mesures pour améliorer  leur cybersécurité. Elle pourrait durer jusqu’à cinq ans, et sera menée par l’Institut national japonais des technologies de l’information et des communications (NICT).

200 millions d’appareils ciblés

À partir de la mi-février, ce dernier générera des identifiants et des mots de passe pour tenter de s’introduire au hasard dans près de 200 millions d’appareils connectés à Internet, tels que des routeurs, des webcams ou toute autre gadget relevant de l’internet des objets. A chaque tentative d’introduction fructueuse, l’institut contactera le propriétaire pour l’inviter à prendre des mesures pour améliorer sa cybersécurité, et le conseiller dans ce domaine.

Daisuke Inoue, un chercheur du NICT, a assuré au media japonais NHK World-Japan que l’institut protégerait toutes les données qu’elle sera ainsi amenée à récupérer, telles que les photos ou des vidéos trouvées sur les webcams ou les objets connectés à internet qu’il sera parvenu à pirater.

Un responsable du ministère des communications a indiqué que cet effort s’inscrivait dans le cadre des Jeux olympiques de Tokyo en 2020, et visait à améliorer la cybersécurité de l’ensemble du pays.

Un projet controversé

La MIT Review est partagée au sujet de cette initiative. Elle souligne que les appareils relevant de l’internet des objets sont réputés pour être peu fiables en matière de cyber-sécurité. Autrement dit, ils ont tendance à être facilement accessibles pour les individus malveillants. L’institut aurait d’ailleurs constaté que 54 % des cyberattaques qui avaient été révélées en 2017 visaient précisément ce type de gadgets.

Mais une telle initiative soulève des questions. Tout d’abord, elle n’est pas contraignante. Les personnes dont les appareils auront révélé qu’ils souffrent de failles de sécurité se verront proposer des conseils pour remédier à cette situation, mais ils ne seront pas obligés de prendre des mesures pour améliorer leur cybersécurité. Et surtout, pourquoi « attaquer » les citoyens, et ne pas simplement lancer une campagne de communication pour les inviter à renforcer leurs mots de passe ?

Une seconde question porte sur les données collectées par le NICT, et leur conservation.  Comme d’habitude, on peut se demander si elles ne risquent pas d’alimenter une gigantesque grande base de données recensant tous les appareils souffrant de vulnérabilités susceptible de fournir de précieuses indications aux véritables pirates qui parviendaient à s’y introduire.