Sécurisation de l’internet des objets : une question de freins et de contrepoids

L’essor de l’internet des objets offre la perspective de domiciles et de bureaux entièrement connectés. Surveillance de la sécurité via des caméras connectées à internet ou gestion de l’eau et du chauffage via des compteurs intelligents, les possibilités sont infinies. Vous pouvez même nourrir votre animal de compagnie à distance à l’aide d’un appareil de l’internet des objets.

https://i0.wp.com/www.extein.fr/wp-content/uploads/2017/11/securisation-de-linternet-des-objets-une-question-de-freins-et-de-contrepoids.png?w=720

Les appareils de
l’internet des objets sont de plus en plus courants dans les foyers et
sur les lieux de travail, mais il n’existe pas de consensus quant à la
manière de les sécuriser correctement.

Image : iStock

L’explosion de l’internet des objets est telle que le nombre d’appareils déployés et utilisés devrait dépasser la population mondiale cette année. Les analystes prévoient même que plus de 20 milliards d’appareils de l’internet des objets seront en circulation d’ici 2020.

Toutefois, la volonté de satisfaire la demande et de commercialiser de nouveaux produits n’est pas sans créer des problèmes : ainsi, des vulnérabilités ont été signalées dans différents produits de l’internet des objets, notamment des jouets d’enfants, des ampoules, des routeurs, etc.

Les fabricants se dépêchent de sortir leurs produits sans penser aux implications pour la sécurité et, comme avec les smartphones, de nombreux utilisateurs n’ont tout simplement pas conscience des implications de l’internet des objets pour la sécurité… si tant est qu’ils sachent même que l’appareil qu’ils ont acheté est connecté à internet. De toute évidence, la sécurité de l’internet des objets est un problème qu’il faut traiter dès maintenant, sans plus attendre.

L’avenir de l’internet des objets commence maintenant

« Les individus continuent d’évoquer l’internet des objets comme s’ils parlaient de l’avenir, alors qu’il est bien actuel. Ces appareils sont déployés dans de nombreux contextes différents par divers types d’individus et dans des conditions très variées », explique Steve Purser, responsable du département des opérations fondamentales à l’ENISA, l’Agence européenne chargée de la sécurité des réseaux et de l’information.

L’agence travaille aux côtés du secteur privé en vue d’établir une structure de politiques commune pour la sécurité de l’internet des objets qui reflète les préoccupations de l’industrie et fournit un ensemble de suggestions pour les décideurs. L’ENISA a conscience de la difficulté de la tâche à accomplir.

« Il y a beaucoup à faire pour rester vigilant et s’assurer que nous minimisons les conséquences négatives », admet Steve Purser. « Les défis de l’internet des objets sont tels qu’il change totalement l’ampleur des opérations : nous ne parlons plus de millions d’appareils, mais de milliards, ce qui est phénoménal. » Tandis que le secteur de l’internet des objets continue de croître, « les délais vont devenir beaucoup plus rapides et le délai de commercialisation notamment sera beaucoup plus court », prévient également Steve Purser.

Se pose également le problème fondamental du mode de fabrication des appareils de l’internet des objets et de ce qu’ils peuvent intégrer. Beaucoup consisteront en une puce informatique branchée dans un appareil du quotidien et n’auront tout simplement pas la capacité d’être verrouillés comme peut l’être un PC.

« L’internet des objets transforme l’équation entre risque et opportunité : on ne peut pas avoir le beurre et l’argent du beurre, alors ne nous attendons pas à pouvoir sécuriser les appareils de l’internet des objets de la même façon que les PC », prévient Steve Purser. « Il s’agit d’objets de toutes sortes. Prenons une ampoule, par exemple… Comment faire pour sécuriser une ampoule ? »

Ce sont précisément des questions comme celle-ci auxquelles l’ENISA entend répondre avec sa structure de politiques, qui vise à établir un consensus sur le développement et le déploiement de l’internet des objets.

SCADA pour modèle

« Si l’on envisage la situation au niveau mondial, l’environnement est très fragmenté avec de nombreuses personnes différentes qui travaillent sur la sécurité. La difficulté est donc de trouver une solution qui convienne à tout le monde », remarque Steve Purser.

Pour ce faire, l’ENISA s’entretient aussi bien avec des acteurs du secteur public que du secteur privé, en établissant un consensus sur les problèmes et en développant des solutions techniques. Steve Purser considère que la structure SCADA (télésurveillance et acquisition de données) de l’ENISA pour les infrastructures et services cruciaux est un modèle probant à suivre.

« Le processus a fait ses preuves avec SCADA. C’était un environnement fragmenté au début, mais en réunissant les différents acteurs, nous avons créé une dynamique, réduit la fragmentation et obtenu un système qui met tout le monde d’accord », relate-t-il.

Il faut également tenir compte du fait qu’il n’y a pas qu’un seul type d’appareil de l’internet des objets. Différents types de produits seront utilisés dans différentes industries, chacune avec ses propres considérations de sécurité : les impératifs pour l’internet des objets seront moins exigeants dans le secteur grand public que dans les entreprises, eux-mêmes moins exigeants que dans l’armée.

« Commençons par définir des impératifs clairs avec des catégories d’appareils et des catégories de parties prenantes. Vous devez prendre en compte l’aspect économique de l’objet : il ne sert à rien de définir des impératifs qui ne peuvent pas être satisfaits parce que les appareils coûtent trop peu pour les mettre en œuvre. Nous devons nous assurer que les choses sont faisables sur le plan économique et que les produits continueront à se vendre », remarque Steve Purser.

Il doit également y avoir plus de consignes relatives au développement du code pour l’internet des objets afin de garantir la sécurité des appareils. « Étant donné l’énorme volume de développement en cours et les délais très courts pour répondre aux besoins du marché, nous soupçonnons que les développeurs téléchargent du code partageable sur des sites web et ne le vérifient pas, ou alors très vite, puis le partagent ouvertement. Cela n’est pas compatible avec des appareils sécurisés : nous avons besoin d’un meilleur contrôle et de plus de vérifications sur le processus logiciel », estime Steve Purser.

Autocontrôle des réseaux de l’internet des objets

Il y a une autre possibilité, que certains peuvent considérer comme un candidat improbable pour assurer la sécurité de l’internet des objets : les appareils eux-mêmes qui travailleraient ensemble comme une même entité.

« Une idée qui pourrait être utilisée pour sécuriser l’internet des objets serait que les objets se sécurisent les uns les autres, avec les appareils qui contrôlent d’autres appareils », suggère Steve Purser. « Imaginez un appareil qui exécute une portion de code. Vous pouvez signer ce code avec une clé cryptographique, puis un second appareil vérifie et valide la signature avant de se connecter au premier », explique-t-il.

Au final, cette idée aboutirait à des appareils de l’internet des objets qui se contrôlent les uns les autres pour déterminer qu’ils n’ont pas été piratés ou infiltrés, car « la sécurité d’un seul appareil sera limitée dans ce domaine », indique Steve Purser.

Ainsi, même si l’internet des objets apporte des risques, il pourrait jouer un grand rôle dans sa propre sécurisation. Dans tous les cas, l’ENISA fait tout pour s’assurer que la menace reste minime et que l’internet des objets est disponible pour tous en toute sécurité.

« Tout dépend des freins et contrepoids que nous mettrons en place », conclut Steve Purser. « Si nous les utilisons judicieusement et que nous mettons en place les freins et contrepoids adéquats, le résultat peut être très positif. Dans le cas inverse, cela pourrait être un véritable cauchemar. »

ZDNet