histats

Comment l’Internet des objets constitue une menace pour les journalistes

Comment l’Internet des objets constitue une menace pour les journalistes





“Et loin, comme Frodon a mis l’Anneau […] Le Seigneur des Ténèbres prit soudainement conscience de lui et son œil qui perçait toutes les ombres regarda à travers la plaine vers la porte qu’il avait faite […] et toutes les œuvres des ennemis ont finalement été révélées. – JRR Tolkien, “Le retour du roi

“Par la présente, vous accordez à Ring et à ses concédants un droit illimité, irrévocable, libre de droits, perpétuel et mondial d’utiliser, de distribuer, de stocker, de supprimer, de traduire, de copier, de modifier, d’afficher et de créer des œuvres dérivées à partir du contenu que vous partagez via les Services. .” – Amazon Ring, Conditions d’utilisation (à partir du 5 octobre 2022)

De nombreuses recherches montrent que de nombreux journalistes ont un soutien insuffisant, une formation insuffisante et un nombre ingérable d’adversaires qui veulent causer des dommages numériques. La plupart des conseils en matière de cybersécurité destinés aux journalistes se concentrent sur les appareils plus anciens – ordinateurs portables, tablettes et téléphones. Bien que ces menaces ne soient en aucun cas terminées (les logiciels espions, par exemple, restent une préoccupation majeure), il est important de reconnaître et de lutter contre l’invasion des nouvelles technologies de réseau qui nous entourent, telles que les appareils Amazon Alexa et les ampoules intelligentes.

Dans un article précédent pour The Journalist’s Resource, j’ai écrit sur le nombre croissant d’appareils Internet des objets (IoT) grand public dans les espaces privés et publics et la menace qu’ils représentent pour la sécurité des journalistes. Cet article catégorise en outre les menaces pour les journalistes de l’IoT, associant des exemples de types de menaces dans chaque catégorie à des descriptions des conséquences potentielles. Les informations présentées ici sont basées sur un article à paraître dans Springer’s Proceedings of the International Conference on Cybersecurity, Situational Awareness and Social Media. Plutôt que de fournir une liste exhaustive ou trop technique des menaces potentielles, ce système représente une première étape vers l’illustration des menaces nouvelles et à venir. Il est conçu pour attirer un public narratif, tel que les médias, pour les aider à naviguer dans l’incertitude entourant les menaces IoT, telles que la surveillance.

Mon objectif est de fournir aux journalistes des moyens de comprendre ces menaces, de les communiquer facilement aux sources et au public, et d’intégrer l’IoT dans les évaluations régulières des risques. Mon système comprend six catégories, composées de 19 types de menaces spécifiques à l’IoT et pertinentes pour les membres des médias. Ces catégories sont :

  1. Trou de régulation
  2. Menaces juridiques
  3. Profilage des menaces
  4. Suivi des menaces
  5. Menaces liées aux changements de données et d’appareils
  6. Menaces sur les périphériques réseau

Un thème majeur dans les six catégories est que la marchandisation des données par l’industrie technologique colore la conception des appareils IoT, de sorte que la fuite d’informations est souvent une fonctionnalité intentionnelle, plutôt qu’un bogue. L’application smartwatch Strava, par exemple, est destinée à faciliter le partage de profil et le suivi des exercices, permettant aux utilisateurs de partager la quantité d’exercice qu’ils font et où ils se trouvent quand ils le font. Mais cette fonctionnalité peut avoir des conséquences imprévues ; il a également permis la cartographie des bases militaires secrètes. Certaines applications, hébergées sur des appareils IoT, permettent aux utilisateurs de maximiser leurs fonctionnalités s’ils acceptent des termes et conditions longs et vagues – et de nombreux appareils nécessitent une connectivité constante pour fonctionner. L’IdO est particulièrement menaçant car même si vous désactivez l’interaction avec un appareil, vous ne pouvez pas nécessairement échapper à vos amis ; ça s’appelle un l’Internet des Choses précisément parce que les unités forment des écosystèmes entiers. Cela signifie que les menaces peuvent se chevaucher intentionnellement (les attaquants utilisant sciemment plusieurs catégories de menaces) ou involontairement (car les journalistes peuvent être réticents à signaler les problèmes d’IdO en raison de l’hostilité des forces de l’ordre).

See also  FTX hacked? FTX.com withdrawals suspended after $500 million in user funds siphoned off by unknown party

Bien que ces menaces puissent coïncider et se renforcer, il est nécessaire de les séparer et de les examiner séparément. Cela peut aider à éviter que les journalistes ne soient submergés et ne subissent une paralysie décisionnelle en raison de l’ampleur et de la gravité des cybermenaces pesant sur leur travail et leur bien-être. Cet article détaillera donc un type de menace de chacune des catégories susmentionnées, afin d’explorer les impacts et les implications du risque IoT pour les médias.

Menaces réglementaires

De nombreuses menaces IoT proviennent d’une réglementation gouvernementale insuffisante. Alors que les journalistes peuvent essayer d’éviter complètement les appareils, ils sont de plus en plus omniprésents.

Un exemple: Il n’y a aucune obligation légale pour les concepteurs et les fabricants d’IdO de sécuriser leurs technologies, de sorte que chaque petit appareil à faible consommation d’énergie peut facilement être infecté par des logiciels malveillants (malwares) qui peuvent être utilisés à diverses fins illégales. Par exemple, de nombreux appareils IoT mal sécurisés peuvent être combinés dans un botnet, qui est un réseau d’appareils IoT compromis qui peuvent être utilisés pour lancer des attaques ciblées à grande échelle. Ces attaques peuvent impliquer des tentatives d’accès à des informations plus sécurisées tout en cachant l’identité de l’auteur, ainsi que la diffusion ultérieure de logiciels malveillants pouvant affecter considérablement les services, y compris la publication d’articles d’actualité.

Et alors? Les botnets peuvent également être utilisés pour lancer des campagnes à grande échelle pour intimider les journalistes et amplifier la désinformation, comme l’a rapporté Brian Krebs en 2017 lorsque des profils Twitter lui appartenant et le média d’investigation ProPublica ont été soudainement harcelés en ligne par des milliers de comptes similaires.

Menaces juridiques

Bien documentées comme étant à la base des craintes de nombreux journalistes, les menaces juridiques font référence à la manière dont les données ou les actions de l’IdO peuvent être utilisées soit dans les enquêtes des forces de l’ordre, soit pour impliquer des journalistes dans des poursuites.

Un exemple: Les attaques criminelles contre les organes de presse sont un coup de poing : premièrement, les médias doivent atténuer les dommages de la violation elle-même, puis faire face aux conséquences qui ajoutent plus de pression juridique et financière. Le premier impact pourrait être d’être touché par un rançongiciel (un logiciel malveillant qui retient la rançon des systèmes d’un organe de presse en cryptant ses fichiers ou en verrouillant un site Web d’actualités), comme dans le cas du géant portugais des médias Impresa. D’autre part, les coûts d’une cyberattaque peuvent être dévastateurs, et pour les entreprises au Royaume-Uni, ils ont doublé depuis l’année dernière en raison des amendes post-incident.

See also  Un adolescent a pris le contrôle de Tesla en piratant une application tierce

Et alors? Ces conséquences secondaires peuvent entraver considérablement la capacité d’un organe de presse à se concentrer sur les reportages d’actualités et à les financer de manière adéquate. Même si elles survivent à la cyberattaque, les organisations peuvent être gênées par des amendes réglementaires, des frais d’enquête et des paiements d’indemnisation, ce qui peut entraîner des licenciements et des déraillements.

Profilage des menaces

L’un des risques les plus effrayants associés à l’IdO est le profilage, qui consiste à créer un aperçu complet de la vie et du caractère d’un journaliste. Cela peut inclure l’enregistrement du comportement, des associés (amis, famille et collègues), des lieux fréquents, des habitudes et même des informations sur la santé.

Un exemple: Même lorsque les appareils semblent ne pas écouter, ils peuvent écouter. Les journaux des appareils domestiques intelligents peuvent permettre de reconnaître les routines des résidents à partir de leur heure d’utilisation. Ou il existe plusieurs façons d’utiliser les appareils IoT courants pour reconnaître les modèles d’écriture et reconstruire ce qui a été écrit, même lorsqu’il a été envoyé via des canaux sécurisés.

Et alors? Un acteur malveillant peut espionner pour en savoir plus sur un article d’investigation qu’un journaliste rapporte et peut menacer d’utiliser des informations personnelles pour faire chanter le journaliste afin qu’il ne publie pas sur ce sujet.

Suivi des menaces

Une grande partie des données générées et interprétées par l’IoT permettent aux appareils (et à leurs utilisateurs) d’être localisés par toute personne ayant accès aux données de localisation illégalement ou légalement, ce qui peut inclure des pirates étrangers, parrainés par l’État ou des autorités nationales. Les modèles de mouvement suivis technologiquement sont souvent vendus ou partagés avec des tiers, y compris des entreprises privées.

Un exemple: L’utilisation par les forces de l’ordre de l’analyse des médias sociaux peut croiser les données des appareils IoT. Par exemple, les images de nombreuses sonnettes équipées de caméras sont automatiquement mises à la disposition des forces de police locales, transformant ainsi les sonnettes privées en une extension des réseaux de surveillance gouvernementaux.

Et alors? La peur de l’identification et des représailles peut conduire à l’autocensure, tant chez les journalistes qui recueillent des informations sur le terrain que chez les sources. Cela est particulièrement probable si les unités peuvent fournir des preuves qui identifient les personnes soupçonnées de participer à des manifestations à risque de violence gouvernementale, comme lors des manifestations Black Lives Matter.

Menaces liées aux changements de données et d’appareils

Les journalistes comptent sur leur réputation en tant que source d’informations exactes ; toute personne discréditée peut avoir des conséquences sur la confiance du public. La modification des données, des informations publiées aux détails du compte, via les appareils IoT peut non seulement saper la crédibilité d’un journaliste, mais aussi potentiellement le mettre en danger, ainsi que ses sources.

Un exemple: Certains appareils IoT, y compris certains réfrigérateurs intelligents, peuvent accéder aux réseaux sociaux et aux comptes de messagerie des utilisateurs.

See also  Un homme a piraté des employés de T-Mobile pour déverrouiller des téléphones portables et a levé 25 millions de dollars

Et alors? Ces appareils mal sécurisés peuvent être piratés pour planter des histoires et des communications faussement attribuées aux journalistes. Cela peut sérieusement nuire à la crédibilité et à la sécurité d’emploi d’un journaliste.

Menaces réseau

Comme les agences de renseignement l’ont publiquement noté, l’interconnectivité de l’IdO signifie que le piratage d’un appareil pourrait permettre à un adversaire de compromettre tout un réseau ou de supprimer un site Web. Cela est en fait arrivé au fournisseur de services de The Guardian via une attaque par déni de service distribué en 2016.

Un exemple: Un journaliste peut dépendre d’un appareil donné (ou d’un réseau qui comprend un appareil IoT non sécurisé) pour son travail, comme un drone équipé d’une caméra pour un journaliste photo ou vidéo.

Et alors? Si un mauvais acteur rend délibérément l’appareil inaccessible à l’utilisateur prévu, un journaliste pourrait être exposé à un chantage – par exemple, exiger une rançon en échange de l’accès à l’appareil. Des tactiques de refus d’accès à Internet sont également utilisées pour renforcer le traitement agressif des journalistes. Les attaques qui limitent de manière inattendue la fonctionnalité d’un appareil peuvent avoir des effets physiques, psychologiques et économiques néfastes – par exemple, si elles sont menées contre la voiture de quelqu’un.

Quelle sera la prochaine ?

Je suis actuellement en train de concevoir une boîte à outils en plusieurs parties qui aidera les membres de la presse à identifier les menaces IoT spécifiques les plus pertinentes pour eux. La boîte à outils aidera également les journalistes à trouver les meilleures contre-mesures adaptées à leur situation, afin qu’ils puissent poursuivre leur travail en toute sécurité. La boîte à outils met également en évidence les protections et les restrictions au niveau de l’organisation et de l’industrie, qui, selon moi, sont absolument nécessaires. Les menaces décrites dans cet article et dans mon précédent article de Journalist’s Resource se renforcent mutuellement pour amplifier les conséquences personnelles et professionnelles pour les cibles. Les organisations médiatiques doivent se renseigner sur les menaces IoT et travailler ensemble pour les combattre, car personne ne peut éliminer ces menaces seul. Institutions héritées, groupes de la société civile, pigistes – tous les acteurs des médias doivent se donner pour priorité de partager des informations sur ces menaces et d’intégrer l’IoT dans les routines de sécurité et les évaluations des risques.

Je souhaite entrer en contact avec d’autres personnes intéressées par les risques technologiques et juridiques émergents pour la sécurité journalistique et entendre les réflexions des lecteurs sur les questions abordées dans cet article, y compris toute expérience de telles menaces. Vous pouvez me contacter à [email protected] ou via Twitter à @AnjuliRKShere.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *