Le Gartner prévoit que 6,4 milliards d’objets connectés seront utilisés dans le monde en 2016, soit une hausse de 30 % de ce type d’objets intelligents par rapport à 2015. Leur nombre atteindrait les 11,4 milliards en 2018, alors que le Cabinet d’analyse évalue le marché de l’internet des objets connectés à 348 millions de dollars en 2016, puis 434 millions en 2017 et 547 millions en 2018.

Les usages professionnels de l’IoT progressent

Les objets connectés, que l’on nomme plus généralement « Internet des objets » (Internet of Thing – IoT), sont présents dans de multiples domaines. Les usages sont évidemment beaucoup plus développés pour le grand public, dans les domaines de la santé (traqueurs d’activité, bracelets connectés, etc.) ou de la domotique (serrures connectées, caméra connectées, systèmes d’alarme).

Mais les objets connectés s’installent également petit à petit dans le monde professionnel. Ils sont de plus en plus présents dans des secteurs comme l’industrie ou la santé. Citons par exemple un beau projet français lié à l’IoT : le projet Scoop, initié en 2014 et disposant d’un budget de 20 millions d’euros, qui a pour but d’équiper 3000 véhicules sur près de 2000 km de routes. Les véhicules communiqueront ainsi des informations telles que les obstacles rencontrés, leur vitesse, etc.

Mais alors que le nombre de ces objets ne cesse de progresser, la question de la sécurité prime encore sur celle des bénéfices apportés par l’IoT. C’est encore plus vrai dans le cadre professionnel. Les actualités de piratages ou d’exploitations de failles logicielles sont de plus en plus en nombreuses. Elles démontrent surtout que l’IoT manque cruellement d’un cadre sécuritaire et de normes. La sécurité de l’IoT révèle en effet deux enjeux majeurs : la sécurité des données mais également les dérives liées à l’utilisation de ces données.

Les illustrations ne manquent pas et certaines ont de quoi inquiéter. En 2015, Fiat Chrysler avait dû rappeler 1,4 millions de voiture suite au piratage d’une Jeep par deux chercheurs en sécurité, qui avaient réussi à prendre le contrôle de l’un de ses modèles. L’exploit des experts : faire fonctionner la voiture toute seule, déclencher les essuies glaces, arrêter le moteur, tout cela à distance. Imaginons un instant ce type de capacités dans les mains d’un cybercriminel…

La quasi totalité des objets connectés ont des failles exploitables par les cybercriminels

Toujours selon le Gartner, 80 % des objets connectés présentent de potentielles failles de sécurité. Une étude menée par HP avait également mis en avant le manque de sécurité des objets connectés pour la maison connectée, concernant le chiffrement ou les modes d’authentification. L’objet connecté au même titre qu’un ordinateur ou qu’un smartphone possède une adresse réseau qui lui permet de communiquer, ainsi qu’un système d’exploitation plus minimaliste. Ainsi, il est faillible aux mêmes attaques que l’on retrouve sur nos ordinateurs.

Pas de solutions miracles mais des outils très efficaces

Afin d’évaluer le risque sécuritaire, il existe des outils de diagnostic de risques pour les catégories d’objets connectés. L’un de ces outils, ZAP (Zed Attack Proxy) de l’OWASP, permet de trouver les différentes vulnérabilités des applications Web. Alors que des outils de pen-testing peuvent également permettre de détecter les principaux problèmes.

OWASP liste notamment le top 10 des menaces et les moyens de se prémunir contre ces menaces. Il préconise notamment sur le sujet des attaques d’injection SQL d’utiliser une API sécurisée, c’est-à-dire qui évite l’utilisation de l’interpréteur ou qui fournit une interface entièrement paramétrée.

Les solutions WAF ou firewalls applicatifs peuvent également permettre de se prémunir contre ce type de vulnérabilités.

Du coté des systèmes d’exploitation, il n’existe pas encore de normes sur les objets connectés. Il faudra que les constructeurs prévoient d’intégrer cette problématique notamment pour s’adapter aux différents matériels des objets connectés qui n’ont pas les mêmes besoins en consommation d’énergie et performance.

Les professionnels de la sécurité informatique peuvent aider les entreprises dans cette démarche pour sécuriser leur système d’information par le biais d’audits mais également en leur proposant le bon équipement pour sécuriser leur réseau et/ou leurs postes de travail.

Encore une fois, il n’existe pas de solution actuellement dédiée entièrement à la sécurité des objets connectés. La démarche consiste donc à sécuriser ses infrastructures réseaux et systèmes. Il existe des solutions complètes permettant de protéger les objets connectés de l’entreprise, qui ont des optiques différentes : certains éditeurs proposent ainsi des interfaces unifiées centralisées de management, des solutions spécifiques pour le BYOD, etc.

Standardisation : des initiatives intéressantes

Même s’il n’existe pas encore aujourd’hui de standards de sécurité pour l’IoT, mettons tout de même en lumière pour conclure plusieurs projets et initiatives intéressants avec en premier lieu AllJoyn, un protocole d’interopérabilité pour l’internet des objets. Ce projet open source a été présenté par Qualcomm la première fois lors du Mobile World Congress 2011. Le consortium revendique 100 fabricants adhérents parmi lesquels LG, Sony, Microsoft, Canon, Haier. Microsoft est par exemple en cours de développement d’implémentation du protocole au sein du système d’exploitation Windows 10.

L’internet IIC (Industrial Internet Consortium) organisation mondiale publique-privée a été créée pour accélérer l’adoption et la mise en œuvre de l’Internet industriel des Objets. Mais il existe également une commission d’études 20 de l’UIT-T gérant l’Internet des objets et ses applications, y compris les villes et les communautés intelligentes ou le groupe de travail P2413 de l’organisme de normalisation Institute of Electrical and Electronics Engineers (IEEE) travaillant sur la standardisation d’un Framework permettant d’assurer l’interopérabilité entre la multitude d’objets.

____________
Stéphanie Huon est Ingénieure Réseaux et Sécurité, Nomios