Quels sont les vrais enjeux derrière la sécurisation de l’Internet des Objets?
L'arrivée des serrures connectées offre l'occasion de poser la question de la sécurité des objets connectés. En janvier dernier, à l'occasion du FIC, l'un des évènements majeurs de la sécurité informatique en France, un expert du secteur réalisait un inventaire à la Prévert des failles de sécurité présentes sur une serrure connectée qui tentait pourtant de rassurer les consommateurs en affichant un "chiffrement de qualité militaire".
Insuffisant, très insuffisant, face à la multitude de failles de sécurité qui permettrait à un attaquant non seulement d'ouvrir une porte verouillée, mais pire encore, de se faire passer pour la porte aux yeux du cloud auquel elle se connecte. Une catastrophe, dont bon nombre de startups de l'IoT ferait bien de s'inspirer, sous peine de très grosses déconvenues, pour elles comme pour leurs investisseurs.
L'internet des objets (IdO), c'est, pour reprendre la définition de Jeremy Rifkin, la rencontre des atomes et des digits. Le chainon manquant entre le réel et le virtuel, la dernière étape avant de passer dans un monde où cyber et réel seront de plus en plus confondus. Pour entrer dans la catégorie très courrue de l'IdO, un objet se doit non seulement d'être connecté, mais c'est loin d'être suffisant. Il doit également – et avant tout – disposer de capteurs lui donnant ce rôle de passerelle entre le réel et le virtuel, et d'un logiciel pensé dans ce sens. Une balance connectée fait partit du club si on applique la définition de Rifkin.
Et pour être plus pointu encore pour qualifier un objet comme appartenant à l’univers de de l’IdO, l’objet en question doit répondre à sept exigences :
-
Une étiquette physique ou virtuelle pour identifier les objets et les lieux. Quelques systèmes d'étiquetage sont décrits ci-dessous. Pour permettre aux étiquettes physiques plus petites d'être localisées elles doivent être embarquées dans des marqueurs visuels.
-
Un moyen de lire les étiquettes physiques, ou de localiser les étiquettes virtuelles.
-
Un dispositif mobile tel qu'un téléphone cellulaire, un organizer ou un ordinateur portable.
-
Un logiciel additionnel pour le dispositif mobile.
-
Un réseau sans fil de type 2G, 3G ou 4G afin de permettre la communication entre le dispositif portable et le serveur contenant l'information liée à l'objet étiqueté.
-
L'information sur chaque objet lié. Cette information peut être contenue dans les pages existantes du Web, les bases de données comportant des informations de type prix, etc.
-
Un affichage pour regarder l'information sur l'objet lié. À l'heure actuelle, il est probable que ce soit l'écran d'un téléphone mobile.
Après le squelette, le système nerveux
Avec une mission aussi critique et un rôle assi sensible, on comprend mieux pourquoi la sécurité se doit d'être un sujet de réflexion au cœur même de l'IdO – ce qu'il est d'ailleurs au sein des communautés les plus pointues en matière de sécurité, comme chez les militaires qui y consacrent régulièrement des conférences et des tables rondes.
Avec l'Internet des Objets, les failles de sécurité naguère contingentées au virtuel débordent dans le monde réel, avec des conséquences très concrètes : si vous avez adopté la serrure connectée mentionnées plus haut, alors non seulement vous vous ferez cambrioler très facilement, mais la mise en œuvre de votre assurance habitation risque de s'avérer très délicate.
Insidieusement, l'avènement progressif de l'IdO est en train de changer radicalement l'organisation de nos sociétés. Pour saisir l'enjeu, une simple métaphore suffit. L'internet a mis en place un véritable squelette pour la société de l'information. L'IdO est en train de dessiner son système nerveux, terminant la construction d'une gigantesque matrice, berceau d'une XXIe siècle balbutiant.
Il faudra que ce système s'autorégule, car sa nature décentralisée rendra inefficace toute tentative de régulation centralisée, la sécurité pensée en amont plutot qu'après coup, comme c'est souvent le cas, s'annonce du coup clairement comme un enjeu technologique central au XXIe siècle.
Cela va nous imposer de repenser en profondeur les stratégies de test et d'audit de sécurité pour l'Internet des Objets, ce qui devrait nous amener petit à petit vers quelque chose de similaire à l'automobile, où les crash tests ont fini par s'imposer comme un passage obligatoire avant toute mise sur le marché. En effet, avec l'internet des Objet, ce n'est plus un ordinateur qui plante ou un numéro de carte bleue qui est dérobé, mais c'est une voiture, avec ses occupants, qui fait une sortie de route (ou, moins grave, une chaudière qui laisse une note de téléphone salée).
Voilà qui annonce un vaste chantier dans lequel seront plus que jamais liés sécurité et sûreté.
Pour arriver à cette indispensable approche décentralisée de la sécurité – pour l'Internet des Objets comme pour l'internet tout court – deux éléments aujourd'hui manquant semble indispensable. Une plus grande responsabilisation des entreprises qui mettent sur le marché des technologies, d'une part, et une inclusion de ceux qui constituent la cheville ouvrière de la sécurité informatique – les hackers éthiques – d'autre part.
Le premier chantier devrait avancer rapidement avec l'arrivée, dans moins de deux ans, de la réglementation "données personnelles" et cybersécurité de l'Union Européenne, qui imposera plus de transparence sous peine de très lourdes sanctions pour les entreprises. Le second – une initiative inclusive à l'intention des hackers éthiques – pourrait avancer fortement avec l'arrivée au premier plan des hackers à travers les offres de "Bug Bounty" qui proposent de crowdsourcer auprès des communautés des hackers la recherche de failles de sécurité, entre autre dans l'Internet des objets. La collaboration entre entreprises et hackers passe d’une époque caractérisée par des relations capricieuses, occasionelles, voire tendues, à une ère faite de nécessité, voire d’impératif.
Yassir Kazar est un «serial entrepreneur», Certifié Lead Auditor ISO/CEI27001. Il intervient régulièrement lors de conférences et/ou d’ateliers sur les thématiques liées à la Cyber Sécurité.
Il a enseigné la Business Intelligence en Master II MIAGe à Paris V. Yassir est le co-fondateur et CEO de la start-up Yogosha, plateforme de Bug Bounty.
- Ask A VC : comment modéliser un compte de résultat — Partie 6/6 : analyse de sensitivité - 21/05/2024
- Ask A VC : comment modéliser un compte de résultat — Partie 3/6 : les Coûts Fixes - 16/01/2024
- Question à un VC : Pourquoi les marges unitaires sont-elles si importantes pour votre modèle d’affaires? - 13/11/2023