Se prémunir contre le spectre possible dans chaque machine
Les vulnérabilités de sécurité dans la technologie s'étendent bien au-delà des problèmes logiciels. Plus tôt ce mois-ci, chercheurs ont révélé que le matériel au cœur de presque tous les ordinateurs, téléphone intelligent, tablette et autre appareil électronique est défectueux d'au moins deux manières importantes, dont le nom de code est Spectre et Meltdown.
Quelle que soit leur cause, la simple existence de ces vulnérabilités importantes est le symptôme d'un problème beaucoup plus vaste. Trop peu d'entreprises technologiques prennent les précautions nécessaires pour protéger chaque étape de leurs chaînes d'approvisionnement, des matières premières à la fabrication et à la distribution dans les mains des clients. Les produits peuvent être modifiés soit en usine, soit en cours de route vers un utilisateur, tournant, par exemple, le smartphone d'un cadre en un appareil de surveillance pratique.
Je fais partie d'une équipe multidisciplinaire de chercheurs basée à l'Université de l'Indiana qui étudie ce problème épineux. Notre travail a permis de mettre en évidence le simple fait qu'une meilleure sécurité de la chaîne d'approvisionnement pourrait à la fois prévenir et faciliter la récupération après des accidents - comme les défauts de la puce semblent l'être - et une ingérence délibérée.
Portes dérobées et passages secrets
Il est de notoriété publique que les pirates peuvent attaquer les logiciels en envoyant aux utilisateurs des e-mails infectés par des virus ou des liens compromis. Mais ils peuvent également se mêler des ordinateurs en modifiant de minuscules circuits dans des micropuces que la plupart des utilisateurs ne verront jamais. Ces faiblesses sont physiques, et elles sont tout aussi difficiles à identifier que les erreurs de code logiciel.
Les chaînes d'approvisionnement complexes impliquées dans la plupart des fabrications technologiques sont très difficiles à sécuriser. l'iPhone d'Apple, par exemple, implique des centaines de fournisseurs du monde entier fabriquant des puces et des disques durs, qui doivent tous être expédiés, assemblés et entreposés avant d'être livrés dans un magasin Apple ou à votre porte. Toutes ces étapes introduisent de nombreuses opportunités pour que des problèmes de sécurité surviennent; des recherches récentes ont même suggéré que les pirates pourraient utiliser des applications pour smartphones pour détruire des équipements de fabrication ou même faire exploser des usines entières.
Bien qu'aucune catastrophe de cette ampleur n'ait encore été identifiée, même des détaillants sophistiqués comme Amazon ont été dupés par des fac-similés contrefaits ou mal fabriqués de produits réels. Certaines menaces de la chaîne d'approvisionnement peuvent être plus malveillantes :en 2012, Microsoft a averti les clients que les usines informatiques chinoises installaient des logiciels malveillants sur les PC.
Entrez dans « l'internet de tout »
Alors que de plus en plus d'appareils - pas seulement les ordinateurs et les smartphones, mais les thermostats, les babyphones, les montres-bracelets, les ampoules et même les sonnettes - se connectent à Internet, l'ampleur croissante de la menace des pirates informatiques peut facilement se perdre dans l'excitation.
En 2009, le département américain de la Défense pensait qu'il avait un excellent moyen d'acheter beaucoup de puissance de calcul sans dépenser trop d'argent des contribuables :il en a acheté 2, 200 consoles de jeux Sony PlayStation 3 à utiliser comme composants dans un superordinateur militaire. Mais comme moi et d'autres l'avons écrit en réponse, ces systèmes sont souvent fabriqués à l'étranger, ce qui rend d'autant plus difficile de vérifier qu'ils n'ont pas été falsifiés.
La marine, au moins, a appris de cette erreur :la division des grues du Naval Surface Warfare Center a été la pionnière des inspections automatisées, utiliser l'intelligence artificielle pour examiner les images numériques des nouvelles cartes de circuits imprimés afin de détecter les modifications non autorisées.
Les Américains sont à juste titre préoccupés par les modifications intrusives au cours des processus de fabrication et d'expédition - en partie parce que les agences gouvernementales américaines les effectuent. Des documents divulgués ont montré comment l'équipe des opérations d'accès sur mesure de la National Security Agency intercepte régulièrement les nouveaux équipements informatiques et réseau expédiés à des personnes ou des organisations spécifiques. Ensuite, les travailleurs de la NSA modifient le matériel pour ajouter des vulnérabilités et un accès secret que les pirates informatiques de la NSA pourront utiliser plus tard, puis remettre le matériel dans des cartons à livrer comme si de rien n'était.
La blockchain est-elle une solution ?
Une nouvelle façon de sécuriser les chaînes d'approvisionnement implique la technologie blockchain - un système de base de données sécurisé stocké et maintenu sur de nombreux ordinateurs sur Internet - pour suivre et vérifier tous les aspects d'une chaîne d'approvisionnement, même un aussi compliqué que celui d'Apple.
IBM et le géant international du transport maritime Maersk expérimentent l'utilisation de systèmes de blockchain pour mieux sécuriser et suivre de manière transparente les expéditions, par exemple en saisissant des informations sur ce qui est expédié de qui et d'où à qui et où, et chaque étape le long de la route entre les deux, dans une base de données blockchain.
Ce type de système peut gérer de nombreuses tâches existantes effectuées par les bases de données d'entreprise - avec des scanners surveillant les articles et les colis à des étapes clés, et les humains ajoutent des données comme les détails de livraison. Mais les blockchains offrent au moins trois avantages clés :la sécurité, transparence et automatisation.
La sécurité vient de deux caractéristiques des blockchains :Premièrement, les données sont stockées en morceaux discrets, ou "blocs". Et au fur et à mesure que chaque bloc est créé, il doit se lier de manière sécurisée au bloc précédent dans la base de données, faire une « chaîne » de blocs et empêcher quiconque de modifier des données précédemment stockées. Les modifications ne peuvent être stockées que sous forme de données supplémentaires dans la chaîne.
Donc, en effet, une personne qui a apporté un colis au bureau de poste ne pouvait pas entrer dans le fichier de base de données et supprimer le mot « Traitement » et taper le mot « Expédié » à sa place. Plutôt, la personne ajouterait des données indiquant la date et l'heure de dépôt du colis au bureau de poste. Cela permet à chacun de suivre le colis en temps réel, mais gardez également un œil sur la durée de chaque étape et aidez à identifier où les problèmes surviennent.
La transparence de la blockchain résulte du fait que ses données sont stockées sous forme cryptée, mais est par ailleurs disponible pour les participants. Couplé à ses fonctions de sécurité, une base de données de chaîne d'approvisionnement blockchain permettrait à toute entité impliquée dans une expédition, par exemple, suivre la progression de la commande en étant sûr que les données sont exactes.
La valeur ajoutée des systèmes de blockchain est le fait qu'ils sont des enregistrements numériques, ils peuvent donc contenir un code logiciel défini pour exécuter des fonctions spécifiques lorsque certaines données sont stockées dans le système. Ceux-ci sont souvent appelés « contrats intelligents », « car ce sont des instructions inaltérables qui peuvent automatiser certains processus, comme émettre un paiement à la livraison. Cela ajoute une autre couche de sécurité, trop, parce que la blockchain elle-même peut garder un œil sur la durée de chaque étape pour chaque élément, puis alerter les superviseurs humains si quelque chose prend trop de temps - signe d'une panne de production, ou même un signal que quelqu'un pourrait altérer les marchandises.
Ni une balle magique, ni une cause perdue
Aucune blockchain n'est à l'abri du piratage - et aucune d'entre elles ne peut échapper aux effets de vulnérabilités matérielles telles que Meltdown et Spectre. Mais cela pourrait apporter une amélioration majeure par rapport aux méthodes et pratiques actuelles.
Il y a encore un long chemin à parcourir, y compris la formation des personnes à l'utilisation des blockchains et l'accord sur les normes de communication des données, cryptage et stockage. Et un tel système serait toujours confronté au problème des menaces internes, bien que la technologie blockchain sous-jacente rende de telles tentatives plus difficiles.
Maintenant, les entreprises et les agences gouvernementales explorent des moyens de s'assurer que les articles sont fabriqués, assemblé, expédié et livré de manière fiable et sans altération. Poursuivant ces efforts, et trouver de nouvelles façons pour les entreprises privées et les gouvernements de travailler ensemble et de partager les meilleures pratiques, par exemple en élaborant des normes collaboratives, contribuerait grandement à la création de systèmes robustes basés sur la blockchain qui peuvent aider à suivre et à sécuriser le matériel sur l'Internet of Everything en plein essor.
-
La crypto-monnaie la plus populaire dans chaque état (selon Google)
Lune des plus grandes tendances dinvestissement en ce moment est la crypto-monnaie. En réalité, une étude récente de FinanceBuzz a révélé que 44% des Américains ont ajouté la crypto à leur épargne-ret
-
L'impatience :le piège de toute personne ambitieuse
Lun de mes mentors est un marchand dart. Il se spécialise dans lart du moyen-âge. La dernière fois que nous nous sommes rencontrés, il ma montré une partie de sa collection personnelle. Impressionné p
Chaîne de blocs
- L'importance des dépôts bancaires dans la masse monétaire
- L'âge moyen de la retraite dans chaque État :rapport
- Un fonds équilibré offre le meilleur des mondes possibles
- Un argument contre l'hypothèse d'efficience du marché
- 4 conseils pour évaluer les prix des matières premières
- Le logiciel de day trading rend l'impossible possible
- Investir à contre-courant :aller à contre-courant
- Protéger votre portefeuille de retraite contre les fluctuations du marché
- Comment obtenir l'assurance commerciale la moins chère possible
-
Qu'est-ce que la rente annuelle équivalente? La rente annuelle équivalente (ou EAA) est une méthode dévaluation de projets ayant des durées de vie différentes. Les mesures traditionnelles de rentabilité du projet telles que la formule NPVNPVUn g...
-
Qu'est-ce que l'offre à long terme ? Loffre à long terme est loffre de biens disponibles lorsque tous les intrants sont variables. Cela signifie quà long terme, tous biens, plante, et les dépenses déquipement sont variables. Par ailleurs...