Introduction aux smart cities

Filtrer par catégorie :

29 Juillet 2019 by Julia Juvigny-Nalpas
On lit et on fantasme beaucoup sur le concept de « smart city ». Les représentations de ces villes dans l’imaginaire collectif sont largement influencées par les livres de science-fiction, les jeux vidéos et le cinéma, de Minority Report à Die Hard 4. Les problématiques liées à la smart city sont au contraire très concrètes : face à l’hyperdensité des villes, les gouvernements réfléchissent à des solutions qui permettront la pérennité des infrastructures urbaines et l’optimisation des ressources. Mais la mise en place de solutions connectées, gage d’innovation et de compétitivité ne doit pas faire occulter la place de la cybersécurité.


1. Anatomie d’une smart city

1.1. Définition


L’explosion du nombre d’habitants au sein des villes — en 2050, 70 % de la population sera urbaine [1] — a conduit les administrations à réfléchir sur leur optimisation et leur viabilité à long terme. Loin de l’image des villes futuristes et parfois oppressantes des films de science-fiction, les smart cities « en devenir » (à l’heure actuelle, le développement d’infrastructures connectées et de services performants au sein des villes est encore à l’état de projet) utilisent les nouvelles technologies pour améliorer la qualité des services publics, tout en alliant préservation de l’environnement et mise en exergue du citoyen, devenu acteur de sa propre ville. On parle alors d’équation urbaine. Majoritairement, les smart cities en devenir sont des villes de grande taille (plus de 100 000 habitants, telles que Paris, Nice, Montpellier ou Lyon), disposant de capacités financières, technologiques et d’infrastructures de services performantes (transports, hôpitaux, universités) pour prétendre leur conversion au numérique.

Le développement de solutions connectées au sein des villes doit contribuer à l’optimisation des ressources énergétiques (barrages hydroélectriques, recyclage intelligent des eaux usées), des infrastructures (smart grids), l’amélioration des services publics (transports plus performants comme l’optimisation des trajets de camions de collecte des déchets conduisant à une diminution de la pollution, Wifi public sur l’ensemble de la ville, parkings intelligents), le renforcement de la coopération entre les parties prenantes (développement des e-gouvernements) et le nouveau rôle du citoyen devenu lui-même producteur d’information (retour d’expérience sur l’état de fonctionnement de ses services). Le marché de la ville intelligente a de quoi séduire puisqu’il devrait représenter d’ici 2020 plus de 1 560 milliards de dollars [2].

Les premiers projets de smart cities sont apparus en Asie Pacifique entre la fin des années 90 et le début des années 2000. En 1998, Singapour fut la première ville à adopter le numérique avec la mise en place d’un péage urbain marquant les débuts de la gestion intelligente de la ville. En 2003, la Corée du Sud lance le projet U-Korea visant à développer l’usage des nouvelles technologies dans la ville sud-coréenne de Sondgo (Wifi disponible sur tout le territoire, caméras de surveillance [3]). Côté européen, la ville de Londres a instauré en 2003 un péage urbain ayant pour but de lutter contre la saturation du réseau et de réduire l’impact environnemental de la capitale [4]. Quatorze ans après, d’autres initiatives ont vu le jour comme l’expérimentation d’écoquartiers, l’optimisation du trafic routier ou encore la mise en place de compteurs électriques intelligents.

 

1.2. Smart grids


Les smart grids sont des réseaux électriques intelligents définis par le Parlement européen et le Conseil européen comme étant « capables d’intégrer de manière efficace en termes de coûts le comportement et les actions de tous les utilisateurs qui y sont raccordés, y compris les producteurs, les consommateurs et ceux qui à la fois produisent et consomment, afin de garantir un système d’alimentation efficace sur le plan économique et durable, présentant des pertes faibles et un niveau élevé de qualité, de sécurité de l’approvisionnement et de sûreté » [5]. Les smart grids permettent de produire et de consommer intelligemment, en participant à la transition énergétique.

À l’échelle d’une ville, les smart grids permettent d’adapter la production et la demande d’électricité aux besoins réels des habitants, de réduire les pics de production énergétique, d’améliorer la fiabilité des réseaux (par exemple, le compteur intelligent Linky remplacera 90 % des anciens compteurs d’électricité d’ici 2021 dans 35 millions de foyers français [6]). La France est le pays qui investit le plus en Europe : 118 projets sont en cours pour un budget total de plus de 500 millions d’euros, devant le Royaume-Uni (497 millions) et l’Allemagne (363 millions) [7].

De nombreux projets sont en cours à l’échelle européenne : l’Union européenne soutient à 75 % le programme InterFlex, dédié au développement des smart grids. Doté d’un budget de 22,8 millions d’euros sur 3 ans, InterFlex s’articule autour de 4 thèmes principaux que sont l’intégration des énergies renouvelables, l’amélioration de l’efficacité énergétique, la mobilité électrique et le développement de différents stockages. Ce projet d’envergure se déploie dans 5 pays (France, Suède, Pays-Bas, Allemagne et République Tchèque). En France, c’est la ville de Nice qui sert de terrain d’expérimentation [8].

 

1.3. Capteurs et protocoles


Pour tenir sa promesse de réduction de la consommation d’énergie et de son impact sur l’environnement tout en améliorant la qualité de vie de ceux qui y vivent, les futures smart cities doivent disposer des outils nécessaires. L’adoption du concept de ville intelligente repose en partie sur l’émergence de technologies, telles que le déploiement des architectures de l’Internet des Objets (IoT – « Internet of Things »). Ces objets connectés collectent des données depuis les équipements distants et les appareils mobiles connectés. Hadoop, Spark et d’autres technologies de gestion des Big Data jouent également un rôle primordial en rendant possibles le traitement et l’analyse de toutes les informations recueillies.

Les futures smart cities sont revêtues de capteurs capables de mesurer, par exemple, l’état d’usure des bâtiments ou d’envoyer des informations en temps réel à la population concernant les horaires de transports, la qualité de l’air. Prenons plusieurs exemples : à Chicago des bornes open Hardware sont utilisées pour évaluer la qualité de l’air et envoyer des informations aux citoyens, tout en détectant le nombre de smartphones connectés à proximité. À Belgrade, des capteurs indiquent la qualité de l’air. Fixés sur le toit des bus, ils en transmettent également la position afin d’informer les usagers [9]. À Santander, dans le nord de l’Espagne, les infrastructures connectées sont légion : les bennes préviennent lorsqu’elles sont pleines, les pelouses des jardins municipaux alertent les employés de la ville lorsqu’elles manquent d’eau, les places de stationnement avertissent lorsqu’elles sont libres et l’éclairage public s’adapte à la luminosité ; cela grâce à des milliers de capteurs cachés [10].

Outre les nombreux capteurs qui font partie intégrante de l’architecture d’une smart city et permettent de mieux gérer les services publics, les réseaux de longue portée sont capables de faire transiter des données d’un équipement à un autre sur plusieurs kilomètres. C’est le cas de Sigfox et LoRa, qui sont moins énergivores que les technologies cellulaires (GSM, 2G, NB-IoT). En ville, Sigfox a une portée qui peut être supérieure à 10 km. Quant à LoRa, il permet de transmettre des données à des distances de 2 à 5 kilomètres en milieu urbain [11]. En Corée du Sud, Samsung et l’opérateur SK Télécom ont annoncé la mise en place d’un réseau à l’échelle nationale pour connecter les villes intelligentes du pays. La particularité de ce réseau ? Il se base sur la technologie LoRaWan, celle mise en avant par Objenious de Bouygues Telecom et Orange depuis peu [12].

 

1.4. Données


L’amélioration de l’accès aux données est un autre élément clé du concept de smart city. Les partisans des projets de ville intelligente préconisent de laisser les citoyens accéder à une grande quantité de données municipales, de façon à accroître le sens civique et à permettre aux administrés de développer leurs propres technologies avec ces informations. C’est ce qu’on appelle l’open data. Ces données délivrées en temps réel peuvent par exemple aider à désengorger les transports en cas d’affluence, en redirigeant les usagers vers des moyens de locomotion non saturés. À titre d’exemple, en France, depuis le 6 août 2015, la loi Macron impose l’ouverture des données aux entreprises assurant un service de transport. Celles-ci sont tenues de « diffuser librement, immédiatement et gratuitement dans un format ouvert », des informations relatives aux tarifs publics, aux horaires ou encore aux incidents constatés sur les voies. La RATP propose ainsi une API (Application Programming Interface) qui permet d’accéder aux horaires des transports en commun. À l’étranger, une solution très connue relevant de l’open data est l’application Waze. Grâce à cette application, les données, produites par des millions d’automobilistes, sont collectées en temps réel et permettent ainsi de délivrer un service prédictif d’itinéraire en temps réel. L’application étend ses services dans certaines villes américaines : à Boston, Waze fournit des informations sur la circulation en temps réel qui sont recueillies à partir de diverses sources : caméras, capteurs de flux. Au Brésil, Waze va encore plus loin : à Rio de Janeiro, Waze est utilisé dans le cadre d’un système de pilotage des véhicules de collecte des déchets [13].

 

2. Cas d’usages


Face à l’expansion des populations et l’urbanisation rapide, les projets de smart cities fleurissent un peu partout dans le monde avec chacun un objectif particulier. En Inde, la priorité des smart cities repose sur le développement durable et l’optimisation des ressources naturelles notamment hydriques. À Jaipur, situé aux portes du désert, le plan d’urbanisme met l’accent sur la construction de bâtiments verts, économes en énergie, qui récoltent l’eau de pluie, tandis qu’à Surat, ville côtière, la priorité est à la lutte contre les risques d’inondation [14]. Dans le cadre du projet Smart City Mission, le Premier ministre Narendra Modi prévoit une enveloppe immédiate équivalant à 1,5 milliard de dollars pour le développement de solutions connectées dans une vingtaine de métropoles indiennes. Le Ministère du développement indien a choisi 20 villes qui seront bientôt connectées. Par la suite, le projet prévoit de rendre 100 villes indiennes intelligentes. À Barcelone, les technologies numériques sont utilisées pour améliorer les services à la personne : l’application MobileID permet par exemple à chaque Barcelonais d’accéder aux services administratifs de manière sécurisée depuis leurs smartphones. 90 millions d’euros seront investis lors du prochain mandat dans le but de développer les investissements en faveur des smart cities.

À Singapour, le gouvernement a prévu de doter la cité de capteurs et caméras intelligentes afin de collecter le plus de données possible sur tout ce qui concerne l’activité urbaine (eau, trafic, ordures, énergie). Ces données seront directement mises en ligne sur la plateforme Virtual Singapore et accessibles aux membres du gouvernement. 73 millions de dollars ont été investis. Les gouvernements investissent massivement dans les smart cities. Dubaï prévoit d’investir 7 à 8 milliards de dollars dans ses projets de smart cities. La future ville connectée compte offrir l’Internet gratuit à travers 5000 hotspots Wifi. Dubaï investit également dans des systèmes intelligents de transports avec des capteurs de trafic, des applications en lien, et des véhicules intelligents. Les policiers pourront disposer de la technologie Google Glass afin de créer la police la plus intelligente du monde d’ici 2018 [15]. Aux États-Unis, le développement des villes intelligentes fait également partie des priorités. Le gouvernement a ainsi alloué près de 165 millions de dollars. Ces fonds sont destinés à soulager la congestion du trafic, améliorer la conduite et la sécurité des piétons. Pittsburgh recevra 11 millions de dollars dans le cadre de son initiative d’installer des feux de circulation intelligents, tandis que Denver recevra 6 millions de dollars pour connecter les véhicules afin d’atténuer la circulation pendant les heures de pointe [16].

En France, les smart cities commencent doucement à éclore. Dans la ville d’Issy-les-Moulineaux (92), la gestion de l’énergie est devenue une priorité. Initié en 2011, IssyGrid est le premier réseau de quartier intelligent en France. L’objectif est de réaliser des économies et de réduire l’empreinte carbone en optimisant les consommations et en mutualisant les ressources entre les entreprises, les commerces et les logements. Plus de 500 mètres carrés de panneaux photovoltaïques ont été installés sur trois sites et envoient l’électricité dans un centre de distribution intelligent, qui détermine les différents besoins et évite les pics de consommation. Une part du surplus de ce courant est stockée dans des batteries de voitures électriques recyclées. Mille logements, quatre immeubles de bureaux et une école bénéficient de cette énergie verte. Côté développement durable, tous les immeubles du quartier du Fort-d’Issy ont obtenu le label Bâtiment basse consommation (BBC) et consomment de trois à cinq fois moins d’énergie que la moyenne nationale. Les transports en commun remplacent l’automobile, peu présente dans les rues. Même les camions-poubelles n’ont plus besoin de passer : les déchets sont jetés dans des bornes, puis aspirés dans des tuyaux souterrains. À Nice, la municipalité travaille sur la mise en oeuvre de solutions connectées innovantes. Plusieurs milliers de capteurs permettent de gérer et d’améliorer la gestion des bâtiments, la qualité de l’air, la tournée des bennes à ordures, etc. Des applications mobiles telles que Spot Mairie, permettent aux citoyens de consulter des informations concernant les démarches administratives ou encore d’être alertés en cas d’alerte environnementale. Les expérimentations de smart grids sont également nombreuses comme Nice Grid, un quartier solaire intelligent situé dans la ville voisine de Carros. En 2015, Nice était nommée 4ème smart city à l’échelle mondiale par le cabinet Juniper Resaerch. Elle devançait même Singapour. Chaque ville ayant sa spécialité, Nantes s’est directement focalisée sur l’open data.

La ville de Nantes a été pionnière dans la collecte, la centralisation et l’ouverture des données aux citoyens. Le site data.nantes.fr recense des milliers de données diverses sur les transports, la démographie, le tourisme, les plannings des services publics comme le centre aéré... Ces données disponibles en licence libre ont permis à des développeurs de créer des applications qui facilitent la vie des citoyens et permettent des économies d’énergie. C’est le cas de Green Raid, qui recense, entre autres, les aires de covoiturage, les stations de voitures en autopartage ou encore les itinéraires cyclables. L’application « Nantes dans ma poche » a été lancée en mai 2015. C’est une application mobile dédiée à la vie quotidienne en situation de mobilité et qui facilite la vie des citoyens et usagers de Nantes Métropole. Des horaires d’ouverture des piscines aux places de stationnement, en passant par les horaires de bus, l’utilisateur a accès aux données en temps réel [17].

 

3. La cybersécurité, maillon faible des smart cities

3.1. Une sécurité négligée


Si les futures smart cities présentent un ensemble de solutions aux problèmes posés par le développement urbain et la gestion des infrastructures, il est nécessaire d’indiquer certaines limites relatives à la cybersécurité. Celles-ci sont induites par l’introduction des systèmes d’information dans l’armature urbaine. En effet, la majorité des nouvelles technologies déployées n’ont pas été testées auparavant. Comme dans l’Internet des objets, les industriels privilégient le « ease-of-use and quick deployment » au détriment de la sécurité. Une situation que confirme Cesar Cerrudo, Chief Technology Officer à l’IOActive Labs : « Dans toutes les villes que nous avons visitées dans le monde, nous avons trouvé de grossières failles de sécurité y compris pour des infrastructures critiques » [18]. La plupart des systèmes présents au sein des smart cities utilisent des communications sans fil et ont des problèmes liés à l’absence de chiffrement. Les serveurs d’une ville peuvent aussi être exposés à des attaques de déni de service.

Les réseaux à longue portée conçus pour les équipements à faible consommation (LPWAN) sont sensibles à l’interception de données ou à l’usurpation d’équipement. Un criminel peut envoyer des informations erronées semblant provenir de nombreux capteurs déployés sur le territoire national, faisant croire à une avarie généralisée. Les protocoles de communication à courte distance ne sont cependant pas plus sécurisés : la sécurité mise en place est bien souvent rudimentaire et peut être cassée après une interception d’échanges faiblement sécurisés ou encore contournée lors de la réalisation d’interception par une attaque de l’homme du milieu selon Renaud Lifchitz, expert senior chez Digital Security.

Autre menace dans l’écosystème de la smart city : la collecte de milliers de données personnelles. Mal sécurisées, elles pourraient être détournées par des criminels à des fins lucratives. En 2016, une série de ransomwares a touché des hôpitaux américains, canadiens, anglais et même français. L’attaque contre le Hollywood Presbyterian Medical Center situé à Los Angeles en est un parfait exemple. Survenu en février 2016, ce ransomware a paralysé le système d’information de l’hôpital pendant plus de 10 jours : les dossiers patients avaient été chiffrés, et certains équipements électroniques étaient devenus inaccessibles. Plus de 900 patients ont dû être transférés dans d’autres établissements de Los Angeles. Outre le chiffrement des données, celles-ci peuvent être revendues sur le darknet à très bon prix. À titre d’exemple, aux États-Unis, le numéro de sécurité sociale est bien plus sensible qu’en Europe dans la mesure où il s’agit d’un identifiant administratif majeur et a donc une valeur marchande [19].

 

3.2. Exemples de piratages


Dans le célèbre jeu vidéo d’Ubisoft, Watch Dogs, le héros, un cybercriminel nommé Aiden, évolue dans un Chicago où toutes les infrastructures sont gérées par un système informatique. Depuis son smartphone, il lance un malware sur le réseau et fait sauter l’électricité dans toute la ville. Une pure fiction ? En 2014, une équipe de recherche de l’Université du Michigan a démontré que les feux tricolores pouvaient être piratés. Sous la supervision des autorités locales d’une ville du Michigan, les scientifiques ont manipulé la cadence des feux de signalisation. Plusieurs scénarios d’attaque ont ainsi été testés : mise hors service, modification du calendrier des feux et désynchronisation. Ainsi, un attaquant pourrait facilement provoquer des embouteillages ou obtenir une série de feux verts sur un itinéraire. Les failles mises en évidence concernent principalement un défaut de chiffrement [20].

Le 26 novembre 2016, le métro de San Francisco a été victime d’un ransomware paralysant les distributeurs de tickets. Les criminels demandaient 100 bitcoins, l’équivalent de 69 000 euros, pour débloquer les terminaux. Fort heureusement, les ingénieurs ont fini par reprendre le contrôle du système informatique et le trafic est revenu à la normale le lendemain. L’agence n’a pas souhaité céder au chantage et s’est contentée d’utiliser les serveurs de secours qui contenaient des sauvegardes. Au total, seul un quart des ordinateurs de l’infrastructure a été touché par l’attaque (2 112 sur les 8 656 existants). Cet incident était sans réelle gravité puisqu’il a juste provoqué quelques pannes et a permis aux usagers de prendre le métro gratuitement [21].

L’impressionnante quantité d’appareils de l’Internet des Objets dans les futures villes connectées offre un important vecteur d’attaque à des personnes malveillantes. La récente cyberattaque contre des caméras à Washington en est un exemple illustratif. Un ransomware aurait en effet paralysé pendant plusieurs jours le réseau de caméras de surveillance municipale de Washington DC. La police a réalisé que quatre caméras municipales ne fonctionnaient pas correctement, et pour cause deux types de ransomwares ont été détectés au sein de ces caméras. Au total, 123 caméras sur les 187 connectées au réseau présentaient des signes d’infection. Une réinitialisation générale a permis de se débarrasser du malware [22]).

 

3.3. Scenarii de cyberattaques


Si à l’heure actuelle les piratages contre des infrastructures urbaines ne semblent pas répandus, le piratage simultané de plusieurs infrastructures d’une smart city combiné avec des attaques conventionnelles (de type cyberterrorisme) pourrait avoir des conséquences catastrophiques. La réaction à une attaque informatique sur une ville connectée serait à la hauteur de la complexité de ses infrastructures. En attaquant directement le système informatique d’infrastructures SCADA, des criminels pourraient forcer l’arrêt d’une centrale électrique, entraînant des coupures d’électricité voire un blackout. Le blackout d’une smart city entraînerait des pannes au niveau de la signalisation des feux tricolores, des lampadaires ou encore des transports en commun.

Des dangers relativement minimes comparés aux cyberattaques qui pourraient toucher des infrastructures sensibles (des pannes d’électricité dans des hôpitaux, le dysfonctionnement de barrages hydroélectriques ou encore le piratage d’usines de traitement de l’eau). À ce titre, des chercheurs en sécurité ont présenté lors de la conférence RSA de San Francisco un logiciel de rançon LogicLocker, permettant de modifier les automates programmables (PLC) qui contrôlent les infrastructures de contrôle industriel et d’acquisition de données dans un système industriel. Le logiciel créé par les chercheurs du GIT a permis, dans un environnement simulé, de prendre le contrôle d’une usine de traitement d’eau et de menacer de couper l’approvisionnement en eau ou d’empoisonner l’eau de la ville en augmentant la quantité de chlore. Une menace à prendre au sérieux étant donné la rapidité avec laquelle les ransomwares se propagent et évoluent [23].


 

Conclusion


La démocratisation de solutions connectées dans les villes, gage d’innovation et de compétitivité, ne doit pas faire occulter les risques sécuritaires de « l’informatique ubiquitaire ». Cette situation est en effet un véritable écheveau : le développement d’infrastructures intelligentes, destinées à améliorer le quotidien des citoyens est confronté au manque de sécurité desdites infrastructures. Des vulnérabilités que ne manqueront pas d’exploiter des attaquants à des fins de sabotage, d’enrichissement personnel… De la gestion des risques de sécurité (confidentialité, disponibilité, intégrité…) aux risques liés à la manipulation de données personnelles (Loi Informatique et Libertés actuelle, Règlement général sur la Protection des Données en devenir…), en passant par toutes les démarches de sécurisation (prise en compte de la sécurité dans la conception, analyses de risques, audits de sécurité…), l’ensemble des parties prenantes doit réfléchir à comment structurer la ville de façon « intelligente », la sécurité étant l’un des piliers de la pérennité des futures smart cities, pour ne pas nous retrouver dans un scénario à la Die Hard. Par exemple, les villes devraient intégrer systématiquement des exigences de sécurité dans leurs appels d’offres afin que les fournisseurs proposent des solutions plus sécurisées que celles actuellement disponibles sur le marché.

Les enjeux sécuritaires auxquels seront confrontés les smart cities font écho aux futurs défis des territoires connectés : car au-delà de la ville, la révolution numérique touche également les campagnes. Après l’imagerie satellite, les tracteurs guidés par GPS ou encore les drones qui survolent les cultures et les élevages, les objets connectés se démocratisent dans les campagnes. Des capteurs sont mis en place dans les champs et permettent de fournir une batterie de données aux agriculteurs (température du sol et de l’air, humidité, pluviométrie) grâce à une application mobile simple d’utilisation. Pour autant les agriculteurs sont-ils vraiment préparés aux défis de l’agriculture numérique ?
 

 

Remerciements

Je tiens à remercier particulièrement Thomas Gayet et Stéphane Jourdois pour leur relecture attentive et leurs conseils avisés.

 

AUTEURS

Julia JUVIGNY-NALPAS : Chargée d’études en cybersécurité digital.security – julia.juvigny@digital.security