« … des armes plus efficaces que les couteaux de cuisine, car pouvant toucher plusieurs cibles en même temps, et plus insidieux, car mises en œuvre de façon invisible, indétectable. »
Par François Schwerer.
Quelle que soit la cause de leur explosion, ces bipeurs révèlent à quel point les communications ouvertes sont autant de fragilités, et à quel point le système marchand est en fait trompeur et opaque.
« … Les batteries au lithium qui équipent tous les ustensiles mobiles de la vie courante (téléphone portable, vélo électrique, tablette, tondeuse ou haut-parleur sans fil…) sont des outils dangereux qui peuvent être utilisés à des fins malveillantes par un ennemi non repéré. »
Le 18 septembre on apprenait qu’au Liban et en Syrie les « bipeurs » d’un certain nombre de membres du Hezbollah avaient explosé faisant une dizaine de morts et près de trois mille blessés. Le lendemain ce sont des talkies-walkies qui, à leur tour semaient la panique. Il n’est pas question ici d’en tirer des conclusions au regard du conflit qui endeuille chaque jour le Proche-Orient, mais de réfléchir un peu sur ce que révèle le mode opératoire de cette attaque, alors même que l’on ne connaît pas encore toutes les circonstances de l’opération. Deux points seulement vont être évoqués : les dangers inhérents à toute interconnexion et la généralisation du mensonge dans le commerce.
Rappelons brièvement les faits, tels qu’ils sont connus quelques jours à peine après les explosions. Tous ces appareils électroniques servant à la liaison entre les hommes ont donc explosé en même temps. Selon les premiers éléments connus, ils auraient reçu un signal qui les aurait fait chauffer juste avant d’exploser. Aussitôt, tous les regards se sont tournés vers les batteries au lithium qui les équipent et qui leur permettent de fonctionner – même si on dit que les batteries n’auraient servi que de détonateur. Selon l’Institut national de recherche et de sécurité (INRS), ces batteries présentent des risques d’incendie, voire d’explosion, notamment à la suite d’un « emballement thermique ». De façon à limiter ces risques, les batteries au lithium sont équipées d’un système électronique intégré, dit BMS (Battery management system) dont le but est de réguler la tension interne de la batterie. Or les dernières générations de BMS, dits « communicants » – peuvent être paramétrées à distance via une application particulière. Autrement dit, ces BMS sont capables de faire varier l’intensité et la tension de la batterie, en principe pour l’empêcher de chauffer. Mais si ce système est capable de faire varier ces paramètres dans un but sécuritaire, il peut aussi être utilisé pour les faire bouger à contretemps, transformant ainsi ces batteries en de véritables armes par destination ; des armes plus efficaces que les couteaux de cuisine, car pouvant toucher plusieurs cibles en même temps, et plus insidieux, car mises en œuvre de façon invisible, indétectable.
Le danger de la multiplication des accès
Ce qui est important ici c’est de s’interroger sur tous les systèmes communicants que l’on utilise aujourd’hui, toutes les interconnexions que l’on met en place pour se simplifier la vie. Jusqu’à présent, lorsque l’on parlait de cybercriminalité, on parlait essentiellement des virus qui paralysent des systèmes stratégiques (les fameux rançongiciels – ou ransomwares – dont les hôpitaux ont été victimes) ou qui permettent de pirater des informations importantes (données de santé, numéros de comptes bancaires, etc.). Nous savons aujourd’hui que ces interconnexions peuvent servir à tuer. Le criminel ne cherche plus seulement à s’introduire dans un système pour voler ou faire chanter le titulaire ; il peut s’y introduire pour faire périr, que ce soit une personne individuellement ciblée ou toute une catégorie de population. Multiplier les interconnexions, c’est multiplier les ouvertures. Les codes d’accès permettant officiellement de sécuriser les messages envoyés aux systèmes pour les mettre en œuvre sont aujourd’hui beaucoup moins performants que les clés que l’on met dans les serrures pour ouvrir les maisons ; ils sont relativement faciles à décrypter sans que leur propriétaire puisse s’en apercevoir. Lorsqu’une personne met en place un système lui permettant de mettre en route le chauffage de son logement juste avant son arrivée pour y jouir aussitôt d’un meilleur confort, c’est comme s’il donnait les clés de ce logement à un inconnu pour que celui-ci puisse aller physiquement allumer la chaudière en son absence. Toute interconnexion est une entrée possible dont la fermeture est facile à faire sauter.
S’ajoute désormais la conscience du fait que les batteries au lithium qui équipent tous les ustensiles mobiles de la vie courante (téléphone portable, vélo électrique, tablette, tondeuse ou haut-parleur sans fil…) sont des outils dangereux qui peuvent être utilisés à des fins malveillantes par un ennemi non repéré. Certes les matériels qui permettent aujourd’hui de « craquer » les clés algorithmiques ne sont pas à la portée de toutes les bourses mais les organisations criminelles (mafieuses ou terroristes) ont les moyens de les développer et de s’en servir, surtout pour des opérations de destruction massive. Dès lors, avant de multiplier chez soi les interconnexions et autres systèmes communicants, il convient de bien penser à leur utilité réelle. Est-ce qu’un peu plus de confort (un peu plus de paresse) vaut le prix d’une atteinte importante à la sécurité ?
Les informations mensongères du commerce
Une autre leçon doit être tirée par chacun de ces attaques spectaculaires. Les bipeurs qui ont explosé étaient réputés avoir été fabriqués par une entreprise taïwanaise auprès de laquelle ils avaient été commandés et dont ils portaient le nom. Pour essayer de dégager sa responsabilité dans cet attentat, la société taïwanaise a expliqué que ce n’était pas elle qui avait fabriqué les appareils incriminés mais une société hongroise à laquelle elle avait vendu le droit de se prévaloir de son nom. Ce que l’on a pu penser alors c’est que la société hongroise était le fabricant des fameux bipeurs. Mais, après contrôle il s’est avéré que ladite société hongroise n’était en fait qu’une entreprise de « consulting », une société écran, qui, au moment où cet article a été rédigé, aurait dit avoir sous-traité l’opération à une société bulgare. Mais la société bulgare en question – ou toute autre s’il s’avère après enquête que ces poupées gigognes sont encore plus nombreuses – peut bien n’avoir fait qu’assembler les divers éléments permettant la réalisation des appareils. Elle peut avoir intégré un explosif supplémentaire dans le système, si celui-ci était extérieur à la batterie, mais si comme certains le prétendent cet explosif se trouvait à l’intérieur de la batterie, la question qui se pose est de savoir qui a fabriqué la batterie. Et, au-delà, qui a mis au point le BMS communicant qui a permis la mise à feu. Nous sommes donc en présence d’une cascade d’intermédiaires appartenant à des pays différents, laquelle permet de masquer les responsabilités de chacun. Dans ces produits complexes, finalement assemblés par celui qui apparaît comme le fabricant final, on doit comprendre aussi que les consommations intermédiaires (c’est-à-dire les éléments de base) ne sont pas contrôlées. Les talkies-walkies, quant à eux, portaient le nom d’une société japonaise. Or, si la société japonaise incriminée a bien fabriqué des appareils de ce type, la production en aurait été arrêtée en 2014. Pourtant ces appareils n’ont été commandés et acquis qu’en 2024.
Indépendamment de l’aspect politique de l’affaire, ces deux exemples montrent bien que le consommateur qui achète un produit quelconque ne sait pas d’où il vient, par qui ni quand il a été fabriqué, ce qu’il contient exactement ; et les indications qui sont portées à sa connaissance sont absolument invérifiables, parfois aussi incompréhensibles. Plus le produit acheté est complexe et plus le brouillard est épais. En cas d’incident ultérieur, si un consommateur est individuellement victime d’un dysfonctionnement, il aura du mal à trouver un responsable capable de l’indemniser. ■ FRANÇOIS SCHWERER
Dernier ouvrage paru…