Si l’on comparait l’Internet des Objets à la ruée vers l’or, son environnement de sécurité ressemblerait plutôt au Far West.
Les entreprises n’hésitent plus à surfer aveuglément sur la vague de l’innovation, poussées par un monde de plus en plus connecté et par des consommateurs toujours plus avides de nouveaux produits. Cette tendance menace pourtant de faire plonger bon nombre d’entre elles dans des eaux dangereuses.
Gartner estime que 20,4 milliards d’objets connectés seront en service d’ici 2020. Et si les niveaux de sécurité actuels restent tels qu’ils le sont aujourd’hui, peu d’entre eux bénéficieront d’une sécurité optimale.
Largement poussés par la forte demande en objets connectés, les fabricants s’empressent en effet de mettre sur le marché des appareils à bas prix, sans réfléchir au préalable à leur sécurité, favorisant ainsi le développement d’activités criminelles : outre le fait que les objets connectés rendent très facile le vol d’informations, l’Internet des Objets fournit aux cybercriminels une nouvelle opportunité de choix.
En 2016, le monde a d’ailleurs été rappelé à l’ordre lorsque les botnets Mirai ont paralysé de nombreux réseaux Internet grâce à une armée de babyphones, de caméras et de routeurs. Ces botnets avaient été élaborés grâce à un système permettant de deviner les mots de passe des objets ciblés, à partir d’une liste des identifiants par défaut les plus courants sur ces derniers.
Les chercheurs découvrent également des vulnérabilités dans les jouets et les appareils domestiques connectés de manière quotidienne. Ces vulnérabilités pourraient permettre à un attaquant d’espionner les propriétaires de l’appareil et, plus inquiétant encore, leurs enfants.
Une menace qui touche toutes les organisationsLa prolifération d’objets connectés dans les entreprises comme dans le monde industriel ouvre des perspectives encore plus alarmantes. Même si elles ne sont pas explicitement dues aux objets connectés, les vagues d’attaque par rançongiciel (ransomware) sur les hôpitaux au cours de ces dernières années nous donnent une idée de ce à quoi pourrait ressembler une attaque dans un environnement IoT étendu. Dans le cas des hôpitaux, une telle attaque se traduit par un blocage des systèmes critiques puis une demande de rançon, sous peine de ne jamais pouvoir retrouver l’ensemble des fonctionnalités des services destinés à préserver la vie humaine. De quoi donner froid dans le dos.
Et pourtant, les États ne semblent pas avoir encore pleinement saisi l’ampleur de ce développement. Les gouvernements et les autorités de régulation ont du mal à s’adapter à une demande aussi massive et toutes les tentatives pour instaurer un large contrôle de la sécurité des objets connectés n’en sont qu’à leurs premiers balbutiements.
En fin d’année dernière, l’Allemagne a interdit les montres connectées pour enfants, après qu’il fut révélé qu’elles pourraient être utilisées pour espionner ces derniers à distance. Le Congrès américain a également adopté une loi visant à garantir que les bureaux gouvernementaux américains n’utilisent que des équipements IoT sécurisés. Plus récemment, le gouvernement britannique a publié des règles provisoires pour de meilleures pratiques d’utilisation et de fabrication des objets connectés. La France, qui applique le RGPD depuis le mois de mai de cette année, se doit d’être évidemment vigilante. Si la réglementation est encore quasi inexistante, la CNIL a cependant déjà établi une liste de recommandations à ce sujet.
Toutes ces solutions ne sont malheureusement que partielles, et ne concernent que des appareils ou des régions spécifiques : elles ont en effet bien du mal à s’opposer à un marché mondialisé. En outre, le déluge d’objets bas de gamme provient bien souvent de zones connues pour leur faible réglementation et leurs prix bas, ce qui signifie que toute réglementation imposée aux fabricants aurait besoin de pouvoir s’étendre à l’intérieur de leur pays. Un effort considérable, qui montre à quel point la sécurisation des appareils est le plus souvent considérée comme un coût inutile et dédaigné.
Le fait est que les fabricants s’occupent généralement de la sécurité après coup. Les objets connectés sont tristement célèbres pour comporter des défaillances fondamentales de sécurité, comme des mots de passe codés en dur, une authentification médiocre ou inexistante et l’impossibilité d’apporter des correctifs de manière sûre. Lorsqu’elle existe, la sécurité est souvent ajoutée après conception et réimplantée dans les équipements : une solution souvent inefficace et – c’est le comble – moins économique.
Tant que la sécurité ne sera pas imposée par la loi, ou enfin considérée comme faisant partie du processus de conception, la sécurité des objets connectés restera dans les mains des utilisateurs, avec les dangers évidents que cela comporte.
Une solution : les PKI
Les infrastructures à clé publique (PKI), utilisant des certificats numériques, offrent aux fabricants comme aux consommateurs le moyen de sécuriser les objets connectés. Les PKI sécurisent les connexions entre les machines depuis maintenant plusieurs décennies, et sont devenues une norme éprouvée. Elles pourraient faire de même pour cette nouvelle génération d’innovations.
Ceux qui déploient d’importants réseaux d’objets connectés, que ce soit dans un environnement de bureau ou dans un environnement industriel, doivent contrôler des réseaux de milliers ou peut-être de millions d’unités, recueillant toutes des informations et se parlant entre elles. La tâche est immense.
Les certificats numériques délivrés par les PKI permettent de sécuriser ces échanges, et permettent à la fois aux appareils de s’identifier entre eux, mais aussi aux utilisateurs de s’identifier auprès des appareils. En émettant des certificats qui jouent un rôle d’identificateur, les PKI peuvent donc établir une réelle confiance dans des réseaux très étendus d’appareils et d’utilisateurs.
C’est aussi une manière de soulager les utilisateurs du besoin d’employer des méthodes d’authentification largement exploitables comme les mots de passe, trop souvent partagés. En outre, une sécurité reposant sur une PKI peut chiffrer les flux de données à travers tout type de réseau, rendant le vol de données inutile puisqu’indéchiffrable.
Une solution évolutiveC’est toutefois l’évolutivité des PKI qui en fait le bon choix pour les entreprises qui veulent déployer d’importants projets IoT. La mise en place de connexions fiables entre utilisateurs, infrastructures réseau et terminaux permet le renforcement de nombreuses modalités de sécurité. Bien que l’utilisation de PKI à une telle échelle en soit encore à ses débuts, de nombreux systèmes de paiement bénéficient déjà de ce type de solution. C’est aussi notamment le cas de la société de streaming media Plex ou du protocole WiFi AeroMACS pour les aéroports internationaux. Les principaux fabricants de matériel médical et de voitures connectées déploient également des PKI, et ce mouvement va s’accélérer de plus en plus. Pour les fabricants d’objets connectés, les PKI peuvent en effet assurer l’intégrité de l’objet, sécurisant la gestion des correctifs et les mises à jour à venir.
Plus important encore : lorsqu’elles sont hébergées par une autorité de certification publique, les PKI utilisent les tout derniers standards cryptographiques et répondent aux normes de l’industrie, ces dernières étant revues et améliorées en permanence.
Si vous êtes intéressé par le déploiement d’une PKI, vous devrez choisir entre une solution hébergée et la gestion de votre propre structure, qui peut représenter une tâche considérable. Certains affirment que les entreprises sont mieux sécurisées si elles gèrent elles-mêmes leur structure plutôt que d’en confier la gestion à un tiers. Cependant, la délégation de votre PKI – bien que lourde – procure à vos utilisateurs un degré plus élevé de confiance et une certaine flexibilité qui peut s’avérer vitale dans le cas d’un événement de sécurité.
Le grand public commence à se rendre compte des vulnérabilités existant au sein de l’Internet des objets. De plus en plus de gens réclament des appareils plus sécurisés et les fabricants responsables élaborent des dispositifs intégrant la sécurité dès la conception.
A plus long terme, l’intégralité des fabricants et des concepteurs devront en tenir compte. A travers le monde, les pouvoirs publics commencent à en prendre acte, et bien que leur action soit lente, à terme si les producteurs d’objets connectés ne se mettent pas à sécuriser leurs appareils, la législation les y contraindra. Les réglementations existantes sont en effet adaptées au fur et à mesure pour répondre aux besoins de sécurité engendrés par le développement des objets connectés. En Europe, la réglementation est axée sur la donnée. Des groupes de travail et des autorités nationales sur la protection des données comme la CNIL en France mènent des réflexions et avancent des recommandations. Dans le même temps, l’adoption de normes sectorielles pour la domotique, l’automobile ou l’aéronautique, etc. viendra compléter les bonnes pratiques. La prise de conscience au niveau de l’Etat d’un problème de sécurité publique va toujours dans le sens d’une contrainte plus forte.
A l’heure actuelle, il incombe aux utilisateurs de se protéger contre les menaces apportées par l’Internet des Objets, jusqu’à ce que la sécurité devienne une pratique ordinaire chez tous les fabricants par le biais de la culture, des normes industrielles ou de la loi. En attendant, les PKI fournissent le moyen de le faire, permettant aux entreprises de tirer le meilleur parti de l’innovation au lieu de se laisser dominer par elle.
__________
Mike Nelson est VP de la sécurité IoT, DigiCert.
puis