Les cyberattaques envers les Scada (systèmes de contrôle et d'acquisition de données) ont augmenté de 82% en 2016. La plupart des robots dans les usines peuvent être facilement détournés par des hackers malveillants et saboter consciencieusement la production. Et si l'usine 4.0 était aussi la plus vulnérable ?
Dans l’usine 4.0, une armée de bras robotisés découpe les portes de voitures, remplit des bouteilles de gaz ou débite des milliers de seringues à insuline. Un joli ballet qui semble ultra rodé et imperturbable. Sauf que toute celle belle machinerie souffre d’un gros problème : elle est presque complètement dépourvue de système de protection informatique.
En février 2017, la firme de cybersécurité IOActive Labs a mis au jour une cinquantaine de failles sur de sécurité chez six des plus importants constructeurs de robots. Il est ainsi possible de prendre le contrôle total du robot, d’y installer un logiciel malveillant capable de le «reprogrammer». En mai, c’est une démonstration réalisée par l’entreprise de sécurité informatique Trend Micro en collaboration l’École polytechnique de Milan qui a jeté un nouveau pavé dans la mare. Les chercheurs ont réussi à pirater un énorme bras robotique de conditionnement ou découpe laser utilisé dans l’industrie automobile, logistique ou pharmaceutique. «En ajoutant notre propre code, on peut faire faire à peu près ce qu’on veut au robot», explicite Federico Maggi, de l’École polytechnique de Milan. Par exemple introduire des modifications d’une pièce invisibles à l’oeil nu mais qui pourraient altérer la qualité ou la sécurité le produit fini.
Dans cette vidéo, les experts de Trend Micro ont ainsi montré comment la malformation d’une hélice entraîne la chute d’un drone en plein vol. A partir de là, on peut imaginer n’importe quel scénario faisant froid dans le dos : un hublot d’avion mal arrimé, une valve déficiente sur un coeur artificiel ou un essieu de voiture «programmé» pour céder au bout de quelques kilomètres.
Introduire un défaut de fabrication invisible à l’oeil nu
D’autres menaces, moins directement dangereuses pour le consommateur, sont tout aussi pernicieuses. Les chercheurs sont par exemple parvenus à modifier le statut du robot, suggérant par exemple qu’il est à l’arrêt et autorisant l’accès à un opérateur humain. Avec un risque potentiellement mortel. Il y a aussi le sabotage pur et simple de la production pour anéantir un concurrent ou le détournement (par exemple en modifiant la préparation d’une commande réalisée par le robot ou en changeant l’adresse de destination d’un colis). Et surtout, l’espionnage industriel : enregistrement de l’activité du robot, vol de plans d’imprimantes 3D, etc.
Des robots non conçus pour être reliés à Internet
Alors que 2,6 millions de robots industriels seront en service en 2019, selon la Fédération internationale de robotique, le problème reste largement ignoré. «La plupart ont été conçus sans la moindre protection», déplore Cesar Cerrudo, expert chez IOActive. Construits pour fonctionner dans une environnement fermé, ils sont pourtant de plus en plus connectés en réseau, ce qui les rend vulnérables à n’importe quelle attaque informatique. Pire, «les logiciels utilisés sur les plateformes robotiques sont largement dépassés», avance Trend Micro. En France, l’âge moyen de l’outil industriel est de 19 ans ! Hors, si la cybersécurité n’est pas intégrée dès la conception du produit, «il est beaucoup plus complexe et plus coûteux de combler les failles après coup», explique Cesar Cerrudo.
Si les fabricants commencent à peine à prendre conscience du risque, il est déjà bien visible aux yeux de leurs clients. La cybersécurité apparaît ainsi comme le principal frein au développement de l’usine 4.0 aux yeux des chefs d’entreprise français, qui sont 44% à le citer, devant le manque de standards et de personnel qualifié, selon une étude du Boston Consulting Group (BCG). Regrettable alors que la France est déjà en retard par rapport à ses voisins est que la robotisation permet des gains de productivité de 10 à 20%.