Alors que les entreprises sont déjà les cibles de nombreux pirates informatiques mettant en péril leur cybersécurité, elles évoluent désormais face à une nouvelle forme de criminels : les biohackers, ces personnes implantant dans leur corps des composants capables d’interagir avec des systèmes d’informations ou de stocker des données. En plus des dangers liés aux ordinateurs, les RSSI doivent donc maintenant être capables d’identifier ceux venant des individus.
La technologie ne cesse de progresser au fil des années, pour le meilleur et pour le pire. Créé en 1957, le « transhumanisme », mouvement philosophique dédié à la recherche et au développement de l’amélioration de l’humain par la technologie, a permis de faire des avancées significatives sur l’état de santé des individus. On peut par exemple citer le pacemaker (appareil fournissant des impulsions électriques pour stimuler le cœur) ou bien le sonotone (dispositif qui permet d’améliorer l’ouïe d’une personne malentendante).
Mais comme toutes les évolutions, les avancées dans le secteur médical ouvrent inévitablement la porte à des dérives. Et certaines personnes malintentionnées s’y engouffrent pour sévir. C’est notamment le cas des biohackers, ces nouveaux pirates informatiques qui modifient leur corps pour y intégrer des dernières technologies, les tourner à leur avantage, et ainsi procéder à des cyberattaques frappant les entreprises.
Aussi appelé Biohuman, transhuman, cyborg ou encore grinder, le biohacker s’implante des composants électroniques dans le corps, ou en surface, capables de communiquer et d’interagir avec le système d’information (SI) d’une entreprise et compromettre sa cybersécurité. Objectif : obtenir et stocker, entre autres, des données dérobées.
« L’ensemble de ces composants, lorsqu’ils sont implantés dans le corps, ne sont en rien visibles. S’agissant d’éléments passifs, c’est-à-dire qu’ils ne contiennent pas de batteries et n’émettent pas de signal s’ils ne sont pas sollicités par un équipement extérieur, ils ne font pas non plus sonner les portiques de sécurité. Seule une radiographie peut permettre de les détecter ! », précise l’opérateur de technologies digitales pour les entreprises Hub One, et expert en cybersécurité via sa filiale SysDream.
Et pour s’équiper, le biohacker n’a qu’à se rendre sur Internet. Il y retrouve en effet de nombreux composants pouvant être greffés dans les corps humains comme les puces NFC (Near Field Communication) de faible portée (NExT) et de longue portée (FlexNExT), les puces Flex M1 « Magic » 1K ou encore les FLEX Em. Ces dernières sont par exemple capables d’émuler des cartes d’accès identiques à celles utilisées pour entrer et sortir des bureaux ou ouvrir les portes des voitures.
La toile propose également des puces de chiffrage (cryptographie) telle que VivoKey Spark 2, ou bien un implant bioaimant (en titane) qui réagit aux ondes et au champs magnétiques permettant au biohacker de ressentir les micro-ondes, les vibrations des appareils et les circuits électriques. Des éléments que nous ne percevons pas naturellement. Il est même possible de voir dans le noir via un boitier bottlenose. On peut aussi citer des LEDS générant des éclairages sous-cutanés confirmant la bonne lecture d’une donnée. Cette technologie est toutefois perceptible par l’extérieur.
Dans la mesure où ces composants sous-cutanés ont été pensés pour faciliter notre vie quotidienne (démarrer une voiture, ouvrir une porte d’accès, payer sans contact…), leurs implantations peuvent se comprendre. Cela n’empêche toutefois pas les biohackers d’en user comme une nouvelle arme de cyberattaque.
Déjà lourdement visés par des attaques venant de l’extérieur comme les malwares ou le phishing, les RSSI (Responsable de la Sécurité des Systèmes d’Informations) voient ainsi leur champ d’exposition élargi. Si leurs méthodes pour y parvenir ont changé, le but des biohackers reste le même : compromettre une entreprise en récupérant ses données de valeur ou en l’empêchant d’être opérationnelle.
« Le RSSI doit maintenant être capable d’identifier une menace venant d’un individu, d’apparence normale, mais équipé de composants malicieux sous la peau, qui peut entrer dans un espace réservé tels que les locaux d’une entreprise, récupérer des données critiques ou installer un virus informatique, sans ordinateur ou tout autre équipement électronique visible à l’œil nu. Une attaque physique qui n’aurait alors aucune évidence d’intrusion », poursuit Hub One.
La question se pose donc quant à une réglementation entourant ce type de composants électroniques, encore inexistante à l’heure actuelle. Mais alors que ces piratages d’un nouveau genre vont se perfectionner à l’avenir, au gré des évolutions technologiques, il semblerait nécessaire d’instaurer des lois venant protéger la cybersécurité des entreprises.