Seul, connecté… et sûr ?
L’un des grands attraits de l’ultra-trail est de se confronter à la solitude et à la nature. En tout cas je pense que ça attire ceux qui ont la fibre de l’exploration. Mais il ne s’agit pas non plus de satisfaire cette pulsion en oubliant qu’il y a des choses qui ont beaucoup plus d’importance. Je reste reste connecté à mes proches pendant ces épreuves, grâce notamment à ma montre Garmin. Muni de la bonne adresse sur internet, chacun peut suivre ma progression sur une carte en temps réel. Seulement voilà, cinq jours après mon ultra-trail autour du massif du Beaufortain (17-18 juillet), Garmin subit une cyberattaque de grande ampleur (23 juillet), et je me demande après-coup : qu’est-ce que cela signifie pour l’utilisateur que je suis ? Plus largement, je crois que cet épisode de cyberinsécurité est intéressant même en dehors du monde des loisirs sportifs.
1. Le choix de l’ouverture de Garmin
Il y a deux ans, je saluais le passage réussi à l’organisation ouverte par Garmin, l’entreprise de services de géolocalisation :
Garmin a parfaitement pris son virage numérique. Et le point de départ du virage numérique n’est pas la data. C’est l’expérience utilisateur. Le reste suit presque naturellement.
Je ne me posais pas à ce moment la question de savoir dans quelle mesure cette ouverture pouvait réduire la performance de cybersécurité.
2. Cyber-attaque sur Garmin
Rappelons d’abord les faits. Le 23 juillet, Garmin fait l’objet d’un cyber-rançonnage : l’attaquant crypte la base de données de Garmin et exige un paiement pour effectuer le décryptage. Pour les utilisateurs de Garmin Connect, de Strava, de inReach et de flyGarmin, impossible de mettre à jour leur compte, d’utiliser le site web de Garmin, le service d’assistance, et même de joindre Garmin par email. Garmin finit par payer la rançon.
3. Le précédent Strava
Ce n’est pourtant pas la première fois que se pose un problème de cybersécurité en rapport avec les applications sportives. En 2018, le Guardian a rapporté que le réseau social sportif Strava révélait indirectement l’emplacement de certaines bases secrètes de l’armée américaine, notamment en Afghanistan. En effet, Strava donnait un accès public aux trajets de ses utilisateurs, dont les utilisateurs non militaires sont rares dans certains coins.
Comment combiner ouverture et cybersécurité ?
Finalement, on se croit parfois seul dans la nature alors qu’on est en réalité en train de révéler des informations sensibles à des espions. Je ne sais pas vous, mais ça a de quoi réveiller mon instinct de pirate ! Mais ces activités sportives ne constituent bien sûr qu’une manière parmi d’autres de former un réseau social. Sans parler de la montée en puissance du travail en remote, qui n’a fait que multiplier les surfaces exposées aux cyber-attaques. La transformation digitale est aujourd’hui parvenue au point où l’appétit d’ouverture doit impérativement se concilier avec le besoin de cybersécurité. D’où notre dossier de ce mois, que nous avons réalisé pour :
- Revoir ensemble les bases de la cybersécurité ;
- Justifier une saine paranoïa de la part des Directeurs R&I ;
- Combattre ensemble le silence et la confusion qui entourent ce sujet.