Le 15 septembre, la Commission Européenne a publié une proposition de règlement qui défini des règles transversales de cybersécurité pour les produits contenant des éléments numériques.

Cette législation concerne à la fois les composantes logiciels et matérielles (électroniques) des outils numériques. Elle cherche à limiter la vulnérabilité de nos systèmes industriels, domestiques, etc liée à l’usage croissant d’outils connectées (on pense notamment à certaines caméra de vidéo surveillance dont la sécurité est souvent pointée du doigt). Les dommages annuels liés à la cybercriminalité en Europe sont estimés à 5,5 milliard d’euros.

Le règlement contraint les fabricants d’outils numérique à prendre en compte les enjeux de cybersécurité dès la conception des outils. Par exemple il sera interdit de mettre sur le marché un produit qui contient des failles de sécurité connues (on imagine par exemple un objet connecté qui fonctionnerait avec une version obsolète du système d’exploitation). Le texte définit aussi 2 classes de produits qui font l’objet de deux niveaux d’exigence différents (classe 1 pour les gestionnaires de mot de passe, les VPN, etc; classe 2 pour les systèmes d’exploitation, les routeurs, etc).

Évidemment ce texte va avoir un impact sur le milieu agricole, que ce soit pour les outils informatiques classiques (Gestion d’exploitation, surveillance, etc) ou bien pour des outils spécifiques au secteurs (réseaux de capteurs, tracteurs connectés, robots, etc). A ce sujet, voir l’article de la CEMA (Association Européenne de Machinisme Agricole).

Depuis quelques temps on commence à s’inquiéter des effets que pourrait avoir la cybercriminalité sur la production alimentaire, notamment depuis que l’armée russe a volé des tracteurs ukrainiens et que le fabricant a pu les désactiver à distance. D’autant plus, que les systèmes embarqués sur les tracteurs et autres machines agricoles n’ont pas été conçu dans des logiques d’attaque récurrentes. A ce sujet le hacker Sick Codes a pu présenter des vulnérabilités sur des tracteurs John Deere lors de Def Con en Août 2022, lui permettant d’arriver au but ultime à savoir installer le jeu Doom sur une console de tracteur. Ce hack permet d’un côté de démontrer la possibilité de reprendre le contrôle sur une machine propriétaire. Mais d’un autre côté, le hacker pointe du doigt certaines vulnérabilités liées à l’utilisation de versions obsolètes de Linux ou Windows sur certaines consoles dont les vulnérabilités sont connues.

Sources :

Vulnérabilité caméra de vidéo surveillance : https://www.cyfirma.com/wp-content/uploads/2022/08/HikvisionSurveillanceCamerasVulnerabilities.pdf

Vols de tracteurs ukrainiens : https://www.terre-net.fr/materiel-agricole/tracteur-quad/article/des-tracteurs-voles-par-les-russes-et-desactives-a-distance-207-207900.html

CEMA : https://cema-agri.org/publication/articles/952-europe-is-patching-up-the-cybersecurity-requirements-for-all-digital-products

Proposition de règlement de la Comission Européenne : https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act

Hack John Deere : https://www.theregister.com/2022/08/16/john_deere_doom/