Technologies et menaces dans les Smart Buildings

En septembre 2021, les étudiants de l'IMT Atlantique ont travaillé sur la rédaction de plusieurs articles traitant des enjeux de la cybersécurité au sein des bâtiments connectés. CYRISEA est fier d'avoir pu les accompagner dans ce projet et les remercie pour ce travail de qualité. Découvrez dès à présent l'un de ces articles.

En 2018, la première maison intelligente au monde a été construite à Klaukkala, en Finlande. Smart building, un bâtiment intelligent qui intègre un contrôle centralisé automatique, est la tendance d'habitation du monde de demain. Cette couche d'outils numériques gère la ventilation, la climatisation, l’électricité, l’éclairage, le contrôle d’accès, les systèmes de sécurité et d'autres systèmes interdépendants via un système d'automatisation du bâtiment, le BAS (Building Automation System).

Les objectifs du Smart Building sont :

• L’amélioration du confort des occupants,
• Le fonctionnement efficace des services du bâtiment,
• La réduction de la consommation d’énergie voire la production d’énergie via les énergies renouvelables,
• La réduction des coûts opérationnels et de maintenance,
• Une sécurité accrue,
• La documentation des performances historiques,
• L’accès, le contrôle et le fonctionnement à distance,
• L’amélioration du cycle de vie des équipements et des services associés.

La révolution au stade expérimental confronte les ingénieurs à de nombreuses difficultés et défis à résoudre, notamment les enjeux liés à l’intelligence artificielle et à la cybersécurité.

Sécurité des données

Avec le spectre croissant de capacités et de connexions à l'Internet des Objets (IoT), les systèmes d'automatisation des bâtiments ont été signalés à plusieurs reprises comme étant vulnérables, permettant aux cybercriminels d'attaquer leurs composants.

Parmi ces cybermenaces, on retrouve :

• Le ransomware (rançongiciel) qui prend en otage des données personnelles,
• Le phishing (hameçonnage) qui consiste à envoyer un courriel semblant provenir d'une source fiable pour inciter les utilisateurs à transmettre leurs données sensibles,
• Les spywares (logiciels espions) utilisés pour voler les codes d’accès des bâtiments et en prendre le contrôle et la connexion des sources non autorisées à cause des systèmes informatiques ouverts afin que les objets connectés des Smart Buildings puissent fonctionner et communiquer ensemble,
• Le risque d’attaque de Denial of Service qui rend certaines fonctionnalités inutilisables.

En 2018, le réseau d’un casino Nord-Américain a été compromis. Les hackeurs ont pu s’y introduire par le biais d’un thermomètre connecté d’un aquarium à poisson. Pour éviter cette faille, le casino aurait pu mettre le thermomètre dans un sous-réseau protégé qui n’a pas accès aux données sensibles ainsi qu’un pare-feu qui filtre les messages en provenance et en direction du thermomètre. Il aurait aussi pu sensibiliser son personnel à ces sujets afin de considérer les risques liés à la présence de ce thermomètre sur le réseau, sûrement non configuré de manière à maximiser la sécurité.

On peut également imaginer une attaque malveillante permettant de retenir un immeuble entier en otage avec une alarme non désactivable jusqu'au paiement d'une rançon. Le criminel n'aurait même plus à être sur place puisqu'il contrôlerait tout à distance. Dans ce cas, il est possible d’anticiper un accès physique au matériel (accès sécurisé, clés, digicodes) pour pouvoir contrôler ou au moins désactiver/réactiver certains éléments connectés. Une habilitation spécifique serait nécessaire pour disposer de cet accès.

Consommation optimisée

L'enjeu de la consommation optimisée consiste à trouver un compromis entre les économies de ressources dans le cadre du développement durable, l’efficacité maximale du système, l’expérience confortable des résidents et une facture abordable.

Le bâtiment intelligent fournit un ensemble de technologies adaptées pour garantir des performances énergétiques optimisées. Grâce à des capteurs connectés, il est possible de collecter des données précises sur la consommation énergétique réelle des utilisateurs.

Des actions efficaces peuvent servir à optimiser la gestion de la consommation énergétique des bâtiments dans le respect de l'environnement. Il existe de nombreuses façons de réduire la consommation d’énergie : localiser rapidement les fuites d'eau, identifier les sources de surconsommation et analyser les postes de coûts énergétiques.

Les données de consommation sont recueillies par des objets connectés utilisant le Bluetooth à Basse Consommation (BLE). Ce moyen de communication est piratable. Le trafic BLE peut être facilement intercepté puisqu’il est fréquent qu’une couche de cryptage ne soit pas implémentée. Grâce à une clé Bluetooth, on peut sniffer les paquets et avec le logiciel Wireshark, les analyser. On peut alors reparamétrer des objets connectés comme des serrures connectés pour ouvrir des portes. Cela permet d'accéder à des données personnelles ou d'envoyer des données erronées qui, par exemple, augmentent la consommation énergétique. Les modèles prédictifs se basent alors sur de fausses informations et commettent des erreurs. C’est pourquoi il est important d’utiliser une intelligence artificielle basée sur l’adversarial learning, pour éviter de provoquer une surconsommation.

Une intelligence artificielle de type réseau de neurones doit être entraînée sur des données pour prendre des décisions. En modifiant des données, on peut créer des faux positifs et des faux négatifs pour déformer les données. L’adversarial learning consiste à présenter de telles données et à les discriminer pour l'entraîner à identifier les données falsifiées. Cela a pour conséquence des failles de sécurité ou de dysfonctionnement des services au sein d’un bâtiment.

Maîtrise des risques d’accidents

La réalisation de l'intelligence des smart buildings (les plateformes d'automatisation IoT) peut être à l’origine de nombreux accidents potentiels. En effet, ces plateformes peuvent prendre en charge une large gamme d’appareils IoT, des outils de surveillance, des contrôles d'accès, des haut-parleurs, assistants IA (Intelligence Artificielle), etc. Cela accroît grandement les risques d’accident car ils multiplient les scénarios d’attaques. Plusieurs protocoles émergent comme KNX, ZigBee et BACnet.[10]

Par exemple, le protocole BACnet est un protocole réseau destiné à la GTC (Gestion Technique Centralisée). Il permet l'établissement d'une communication constante entre les appareils de terrain et leur gestion technique grâce à un standard libre ainsi que la mise en place de sous-réseaux pour renforcer la sécurité. Il est fréquemment implémenté dans des systèmes assurant les mesures de température, de consommation ou de puissance. En effet, il assure le contrôle à distance de l’ensemble des installations liées aux secteurs de l’électricité, du chauffage, de la climatisation et de la sécurité grâce à une communication intelligente entre le serveur et son client. On peut l’intégrer dans un système intelligent d’évacuation de chaleur et de fumée qui va assurer une évacuation rapide et naturelle des fumées toxiques en cas d’incendie.

L'aspect le plus important concernant la maîtrise des risques d'accidents est la maintenance prédictive par la mise en place d’équipements qui anticipent et évitent les pannes dans la gestion de l'eau et de l'air, des ascenseurs, des systèmes de chauffage, etc.

En somme, on peut distinguer deux aspects pour la maîtrise des risques d'accident pour un smart building : la défense de cybermenaces et la solution en cas d'accident du point de vue de la technologie et de la sécurité personnelle. Pour se prémunir de ces attaques, il est indispensable de bien séparer les réseaux en sous-réseaux avec des configurations de sécurité pertinentes. Il faut également assurer la sécurité des données via par exemple le chiffrement, avoir une architecture réseau qui permette la défense en profondeur (défense sur différents niveaux de matériel) et surtout sensibiliser à la fois les agents de maintenance des smart buildings et des usagers qui peuvent être les premiers points d’entrée d’une attaque. La surveillance continue du réseau est également un outil fondamental. L’adversarial learning est aussi un moyen robuste de sécuriser son système sur la durée en restant attentif aux attaques et tentatives d’intrusions.

Conclusion

Les bâtiments intelligents comportent plusieurs avantages dans la vie moderne. Cependant, il faut renforcer les composantes de sécurité des systèmes avec l’objectif de profiter de ces avantages sans être victime d'une cyberattaque.

Les cyberattaques sur les bâtiments connectés représentent un danger limitant pas au virtuel et se propage au monde physique. La surveillance par intelligence artificielle et les solutions industrielles développées sur mesure sont des bons exemples parmi les solutions qui permettent de lutter contre les cyberattaques.

Dans l’idéal, la notion de cybersécurité doit être intégrée en amont dès la construction d’un bâtiment. Aussi, la maintenance d’équipements doit être surtout prédictive afin d'anticiper la correction et éviter les pannes dans les systèmes.

Adrien Girard, Charles-Alexandre Matyjasik, Joel IRIE, Lucas Ribeiro, Achraf Jenzri et Zhongwei Jin

https://experiences.microsoft.fr/articles/intelligence-articielle/smart-building/

https://fr.wikipedia.org/wiki/Immotique

https://sensinov.com/blog-sensinov/cybersecurite-batiments

https://info.haas-avocats.com/droit-digital/la-cybersecurite-et-les-smarts-building

https://www.indiz.fr/quels-sont-les-enjeux-du-smart-building/

https://www.bepositive-events.com/en/news/smart-building-now

https://www.synox.io/en/cat-smart-building/smart-building-energy-consumption/

https://www.entrepreneur.com/article/368943

https://documents.trendmicro.com/assets/white_papers/wp-cybersecurity-risks-in-complex-iot-environments.pdf

Leading Technology Alliances Unite Behind IP as Secure Backbone for Building Automation - Connectivity Standards Alliance (zigbee alliance.org)

Slawomir Jasek, Blue picking – hacking Bluetooth Smart Locks

https://wilo.com/be/fr/Solutions-Finder/Connectivit%C3%A9/Gestion-technique-centralis%C3%A9e/BACnet/

https://www.geze.fr/fr/decouvrir/themes/evacuation-de-chaleur-et-de-fumee