Actualité web & High tech sur Usine Digitale

Sécuriser l’internet des objets : un défi industriel loin d'être relevé

|
Twitter Facebook Linkedin Google + Email
×

Sans sécurité, l'internet des objets et ses milliards d'objets connectés risque de rester à quai. Tous les acteurs se l'accordent et beaucoup appellent à une collaboration générale pour définir des normes et standards communs et ouverts. Mais quel  rapport entre un capteur industriel  et une auto connectée ?  Un défi - au cœur des débats du Mobile World Congress de Barcelone cette année - loin d'être relevé.

Sécuriser l’internet des objets : un défi industriel loin d'être relevé
Sécuriser l’internet des objets : un défi industriel loin d'être relevé © Mike on Flickr

L’Internet des Objets. Le concept est enivrant : un monde dans lequel tous les objets qui nous entoure seront connectés à un réseau global via le cloud, et nous faciliteront la vie par leur intelligence. La technologie s’adaptera plus à l’humain pour qu’il ait moins à s’adapter à elle. Mais à l’heure où les piratages défraient la chronique chaque semaine, le rêve peut vite virer au cauchemar.

 

Saura-t-on vraiment garantir que les caméras installées dans nos smart homes pour ouvrir nos portes par reconnaissance faciale ou mettre automatiquement nos programmes préférés sur la TV ne seront pas détournées ? Que ce soit pour nous épier dans notre intimité, où pour s’assurer de notre absence avant un cambriolage... sans qu’il y ait besoin d’effraction. Ces caméras existent déjà, et des piratages ont déjà eu lieues sur certaines d’entre elles.

 

Travailler tous ensemble... vraiment ?

Les acteurs de l’Internet des objets, peu importe leur place dans la chaîne (réseau, service, IT, objet...), sont conscients du danger. Et tous s’accordent à dire que la sécurité doit primer, qu’elle doit être inclus par défaut. C’est le "Security By Design".

 

A défaut, les utilisateurs perdront confiance. L’essor de l’IoT sévèrement bloqué, son potentiel jamais atteint. D'où l'appel du CEO d'ARM à une collaboration de tous les acteurs autours de normes communes et ouvertes, pour ne pas créer d’écosystèmes isolés, trop différents les uns des autres, qui seraient impossibles à protéger correctement. Du moins est-ce la théorie.

 

Car aujourd'hui tout reste à faire, ou presque. Et chacun essaie d’imposer sa norme, ses solutions, son écosystème, et ce à tous les niveaux. Que ce soit dans les réseaux (Sigfox, LoRa, Wifi HaLow, 5G, Bluetooth, ZigBee, 6LowPan etc.), dans les plates-formes cloud (Microsoft Azure, AWS, IBM, Google, Salesforce, etc.), dans les API, les frameworks, les protocoles de communication, les systèmes d’exploitation, le hardware…

 

Et personne n’est bien sûr d’accord sur le comment, comme l'ont confirmé les discours du Mobile world congress de Barcelone cette année. Là où Mikael Bäck, en charge de la stratégie globale d’Ericsson, reconnaît que l'IoT est un marché très verticalisé et que sa sécurité ne tiendra pas qu'à une seule solution, il affirme aussi que Sigfox n'a pas sa place sur le marché en dehors de la France. Sébastien Soriano, le président de l’Arcep, répond sobrement que "les acteurs de l'industrie mobile ne préempteront pas l’IoT". Sigfox s'est d'ailleurs vu décerner le 24 février le Prix meilleure innovation mobile IoT du MWC 2016.

 

Le mirage d'un réseau de réseaux unique, global et standardisé

Des désaccords d'autant plus grands qu'il faut, pour tous, parvenir au délicat équilibre entre le coût de la sécurisation et sa valeur. Et il faut pour ce faire, comme l’explique volontiers Raj Samani, CTO d’Intel Security pour la région EMEA, évaluer le risque pour chaque situation.

 

Est-ce qu’un simple capteur agricole aura besoin du même niveau de sécurité qu’un véhicule autonome ? Bien sûr que non. Mais est-ce que le cloud dans lequel des millions de données agricoles aura, de son côté, besoin d’une sécurité de haut niveau ? Très certainement. Mais alors que le véhicule autonome nécessitera une grande puissance de calcul, un fort débit, et devra pouvoir fonctionner même en cas de déconnexion, le capteur dans une usine devra lui consommer très peu d’énergie et n’aura besoin que de peu de débit. Des cas de figures extrêmes, mais qui illustrent la diversité des situations et des approches possibles.

 

Là où Gemalto met en avant la sécurité que garantissent ses cartes SIM, d’autres pointent du doigt les coûts associés, trop élevés pour un déploiement à grande échelle. Et quand Gemalto en avant ces technologies de cartes SIM virtuelles, d'aucuns évoquent une peur d'un acteur faiseur de rois, comme Apple avec les iPad. 

 

Des besoins, des solutions et des acteurs qui diffèrent

Un casse tête. D'autant que chacun voit midi à sa porte. Lors d’un panel sur "l’Internet des Menaces", Eugene Kaspersky, fondateur de la firme de cybersécurité russe, énumérait des exemples d’attaques rendues possibles par la complexification des objets, leur puissance de calcul en constante augmentation et les données qu’ils génèrent et traitent. Mais questionné sur la sécurité des données recueillies par des capteurs plus simples, utilisant une couche logicielle temps-réel très légère, il n’a pas su répondre. Pas forcément surprenant, car ce n’est pas son domaine d’expertise. Mais l'anecdote pointe l'impossibilité de sécuriser l'IoT avec un seul standard, un seul produit, une seule approche.

 

Eugene Kaspersky mettait aussi en avant le fait qu’un système conçu avec la sécurité comme première directive sera forcément toujours plus coûteux et plus lent à développer. Un trop fort désavantage pour s'imposer sur le marché grand public selon lui, mais un atout indéniable et souhaitable pour les applications professionnelles. Différents produits pour différents besoins.

 

Autre problématique : le rapport ergonomie et simplicité d’utilisation contre niveau de sécurité. La simplicité étant le maître-mot sur le marché grand public, mais la sécurité prenant le pas pour les applications critiques. A l’heure où le consommateur lambda ne se préoccupe déjà pas de la sécurité de son smartphone (qui contient photos, données de paiement, emails, contacts... plus de données personnelles que les ordinateurs n'en ont jamais eu), c'est peut-être du côté des designers qu'il faut se tourner pour intégrer la sécurité de façon transparente.

 

Un danger en évolution permanente

Dernier défi, et non des moindres : la garantie d'un même niveau de sécurité dans le temps, avec son cortège de mises à jour et sa gestion du cycle de vie (et de la fin de vie !). Cela implique un remplacement des flottes d'objets à certains intervalles pour garantir leur intégrité. Quand on repense à la panne technique générale de l’aéroport d’Orly causée fin 2015 par un bug sur des PC vieux de 25 ans, la perspective est peu rassurante.

 

D'autant plus que, selon toute vraisemblance, les objets connectés seront bien moins standardisés que les mobiles. Des écosystèmes isolés cohabiteront, qu'on le veuille ou non. Il y a déjà une fragmentation de ces écosystèmes, et rien n'indique qu'elle va se réduire. Non pas que l'excès inverse eu forcément été meilleur : une domination par un seul grand acteur pourrait nourrir la peur d'une hégémonie et créer une résistance à l'adoption. "Il faudra que quelques grandes plates-formes deviennent des acteurs de marché, pour contribuer à donner confiance aux utilisateurs sans se reposer sur un critère de sécurité unique, analyse Laurent Donnay, directeur exécutif d'Accenture Mobility. Mais s'agira-t-il de plate-formes cloud, comme Azure ou AWS, ou de couche hautes comme Predix ? On ne le sait pas encore."

 

Malgré les appels de tous bords à un ralliement général, la route pour sécuriser l'internet des objets sera donc longue et complexe, loin d'être réglée dès sa conception. Au final, il faudra probablement – comme d'habitude – éteindre les feux à mesure qu'ils se présenteront. Aussi peu rassurant cela soit-il. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

Publicité

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale