SCRS : la technologie des « villes intelligentes » peut ouvrir la porte à l’ingérence étrangère
Le service de renseignement du Canada avertit que les innovations technologiques adoptées par les municipalités pourraient être exploitées par des adversaires tels que le gouvernement chinois pour récolter des données sensibles, cibler les communautés de la diaspora et interférer dans les élections.
Un rapport récemment publié par le Service canadien du renseignement de sécurité exhorte les décideurs et l’industrie technologique à envisager les mesures qui peuvent être prises pour faire face et atténuer la menace émergente pour la sécurité avant que les plates-formes de «ville intelligente» ne soient largement adoptées.
Ces systèmes comportent des dispositifs reliés électroniquement qui collectent, analysent, stockent et transmettent des informations via des plates-formes centralisées. À leur tour, les municipalités peuvent utiliser l’intelligence artificielle pour contrôler efficacement les opérations et les services, leur permettant de changer les feux de circulation au moment optimal, de gérer la consommation d’énergie ou de suivre l’emplacement des vélos loués publiquement.
« L’un des principaux problèmes de sécurité liés aux villes intelligentes est le fait qu’elles nécessitent la sélection et la conservation de pools de données massifs et traités en continu qui pourraient être exploités pour révéler des modèles de comportement individuel et sociétal », indique le rapport.
« Ces préoccupations sont exacerbées par le manque de contrôle et de visibilité sur l’endroit où ces données sont stockées et qui y a accès. »
Le rapport du SCRS, préparé en 2021, n’a été communiqué que récemment à La Presse canadienne en réponse à une demande d’accès à l’information déposée en octobre de la même année.
Bien que l’intégration des innovations technologiques et des données puisse rendre les processus plus efficaces, elle peut également introduire des risques pour la sécurité, prévient le SCRS.
« Les appareils des villes intelligentes collectent d’énormes quantités de données personnelles, y compris des données biométriques et d’autres informations mettant en évidence les choix et les habitudes de vie personnels. Des acteurs étatiques hostiles explorent actuellement divers moyens d’accéder aux futures plates-formes de villes intelligentes, notamment grâce à l’accès fourni par des entreprises technologiques appartenant à l’État ou liées à l’État.
Les municipalités canadiennes peuvent accepter de leur plein gré des partenariats technologiques avec des entreprises étrangères qui permettent à des États hostiles ou non démocratiques d’accéder à la collecte de données, met en garde le SCRS.
Les projets de villes intelligentes dans les pays occidentaux ont été repoussés en raison de problèmes de confidentialité, mais la Chine a « adopté le concept sans réserve », offrant aux entreprises technologiques du pays un avantage concurrentiel, indique le rapport. L’avantage de l’intelligence artificielle de Pékin réside dans son accès aux mégadonnées, ses exigences de confidentialité laxistes et sa main-d’œuvre bon marché pour catégoriser les données et créer des algorithmes d’IA.
La Chine utilise ces nouvelles technologies pour soutenir «l’autoritarisme numérique», l’utilisation de technologies de pointe pour surveiller, réprimer et manipuler les populations nationales et étrangères, selon le SCRS.
Pendant ce temps, les réseaux de prochaine génération et la technologie interconnectée deviendront probablement profondément intégrés dans les infrastructures critiques municipales au cours de la prochaine décennie, augmentant la possibilité d’un accès «par la porte dérobée», indique le rapport. Une préoccupation majeure est qu’une seule violation pourrait rendre tous les appareils vulnérables aux interférences ou aux attaques.
« En d’autres termes, les données collectées via une application de partage de vélos pourraient théoriquement accroître l’accès à d’autres appareils connectés, tels que le réseau énergétique d’une ville, l’approvisionnement en eau ou la base de données de gestion des feux de circulation », indique le rapport.
« Ce type d’exposition aura de graves répercussions sur les plans financier, social, de la santé et de la sécurité au Canada. Imaginez un scénario dans lequel une cyberattaque coordonnée a détruit les verrous de sécurité qui empêchent les explosions catastrophiques dans une installation pétrochimique, tout en contrôlant simultanément les feux de circulation pour empêcher l’intervention d’urgence.
L’accès légal aux données pourrait passer par des contrats entre les villes et les entreprises, tandis que l’accès illicite pourrait se produire en interne via une fonction intégrée d’équipement ou de logiciel étranger, ou en externe à la suite d’une cyberattaque ou d’une violation de données, indique le rapport.
Les données peuvent ensuite être utilisées pour cibler des éléments spécifiques de la société canadienne, tels que les communautés de la diaspora chinoise, les infrastructures telles que les usines de gaz naturel, les installations de traitement de l’eau et les bases de données du gouvernement central, les processus politiques démocratiques tels que les élections ou les groupes de la société civile pour restreindre le débat public et libre expression, ajoute-t-il.
L’utilisation de techniques de collecte de données par des pays comme la Chine, l’Iran et la Russie pour suivre les populations de la diaspora, à savoir les individus considérés comme des opposants, est une véritable préoccupation, a déclaré David Murakami Wood, professeur à l’Université d’Ottawa spécialisé dans la surveillance, la sécurité et la technologie. .
« Il n’y a pas de données innocentes », a-t-il déclaré dans une interview.
Murakami Wood a mis en garde contre le fait de croire que les données sont en quelque sorte plus sûres si elles sont entièrement conservées entre des mains canadiennes. Il est courant pour les organisations de chercher à accéder à de grands pools de données pour des raisons sans rapport avec la raison pour laquelle les données ont été collectées en premier lieu, a-t-il déclaré.
«Vous pouvez être sûr que s’il existe une base de données nationale à très grande échelle, par exemple, la police voudra y accéder tôt ou tard. Et ils trouveront un argument pour expliquer pourquoi ils devraient le faire.
S’il est logique que certains services municipaux soient connectés au monde en ligne, d’autres, comme les hôpitaux, pourraient tout simplement être trop sensibles pour risquer de les avoir liés au cyberespace, a déclaré Murakami Wood.
« Si vous voulez vraiment avoir une ville très intelligente, nous devrions d’abord réfléchir à ce que vous ne voulez pas connecter. »
Prendre les mesures nécessaires pour faire face aux menaces à la sécurité des villes intelligentes nécessitera des discussions et des consultations éclairées à tous les niveaux de gouvernement, indique le rapport du SCRS.
« Différentes autorités ont compétence sur divers éléments de ce défi. Parmi celles-ci, les principales sont les municipalités qui ouvrent la voie en termes de mise en œuvre et d’arrangements contractuels avec les fournisseurs de technologie. »
Le rapport recommande également :
- Coopérer avec les partenaires de l’alliance d’intelligence Five Eyes pour identifier les risques posés par les technologies des villes intelligentes ;
- Collecte de renseignements et formulation de conseils sur les avancées et les intérêts des villes intelligentes des adversaires pour soutenir la position du Canada dans les négociations sur les normes technologiques internationales et la gouvernance ; et
- Veiller à ce que la technologie et les données canadiennes ne soient pas utilisées pour soutenir le développement de technologies devant être utilisées de manière contraire aux valeurs démocratiques.
Ce rapport de La Presse canadienne a été publié pour la première fois le 9 mars 2023.