La sécurité de l’Internet des objets

BLOGUE – Le récent piratage d’un Jeep Cherokee, lors duquel des chercheurs en sécurité ont pris le contrôle du véhicule à une distance de dix miles et ont réussi à contrôler les essuie-glace, le système de divertissement, la direction, la transmission et même à désactiver les freins de sorte que le véhicule finisse sa course dans un fossé, a accru la sensibilisation à l’Internet des objets d’une très mauvaise façon.

Cela a provoqué le rappel de plus de 1,4 million de véhicules et a soulevé la question à savoir qui est responsable de la sécurité des véhicules connectés à l’Internet des objets. À son tour, cela a mis en évidence les risques associés au fait de rendre accessibles sur Internet d’autres composants de l’Internet des objets.

Beaucoup d’objets peuvent être considérés comme des sources de préoccupation potentielles : de tout allant des voitures aux grille-pain, des machines dans les usines aux appareils qui contrôlent les services essentiels comme le réseau électrique et, même, les thermostats intelligents et certains systèmes de sécurité résidentiels. Les analystes chez Gartner définissent l’Internet des objets comme un « réseau d’objets physiques qui contiennent des technologies intégrées capables de communiquer avec leurs états internes ou de les déceler et d’interagir avec l’environnement externe ». Ils prédisent qu’il existera 26 milliards de ces appareils d’ici 2020. Cela éclipse les 7,3 milliards d’ordinateurs personnels, de téléphones intelligents et de tablettes qui devraient être utilisés d’ici là. Le problème est que les chercheurs d’organismes allant du département de la sécurité informatique du National Institute of Standards and Technology (NIST) des États-Unis à l’équipe de recherche de la firme Info-Tech s’entendent pour dire que la sécurité de l’Internet des objets ressemble à l’heure actuelle au Far West.

Le fait qu’il n’y ait pas encore de norme véritablement établie est un gros problème, selon Elliot Lewis, vice-président de la recherche sur la sécurité et le risque chez Info-Tech. Toute personne qui souhaite communiquer avec un appareil sur l’Internet des objets doit d’abord déterminer le protocole pris en charge, parmi les quelque 20 protocoles et plus existants. Les fournisseurs qui créent des centres d’agrégation, c’est-à-dire des dispositifs qui recueillent l’information fournie par des capteurs et qui l’envoient aux systèmes principaux, doivent par conséquent prendre en charge tous les protocoles ou, du moins, plusieurs. Les fournisseurs compliquent davantage les choses, remarque Earl Perkins, vice-président de la recherche chez Gartner. « Quelques fournisseurs ont énoncé une vision et une orientation cohérentes avec une stratégie et une feuille de route en matière de sécurité de l’Internet des objets, telle qu’ils la définissent », dit-il.

Chaque fournisseur formule sa stratégie en matière d’Internet des objets en fonction de son expertise. Par exemple, un fournisseur de protection des réseaux pourrait offrir une façon de séparer le trafic de l’Internet des objets du reste du réseau et un fournisseur de cryptage pourrait montrer comment il compte gérer les clés pour les appareils connectés à cette technologie.

« À l’heure actuelle, considérez le marché de la sécurité de l’Internet des objets comme embryonnaire », dit-il. M. Lewis est du même avis. En fait, dit-il, pour le moment du moins, il est impossible de sécuriser une grande partie de l’Internet des objets – un point de vue maintenu dans un récent rapport du NIST visant à établir des pratiques exemplaires. Les capteurs, souligne-t-il, peuvent être de minuscules dispositifs servant plus ou moins uniquement à diffuser des données ou des appareils dotés d’une certaine capacité de traitement et de stockage. Les centres d’agrégation sont également difficiles à protéger. Leur raison d’être est de compiler toutes les données provenant des capteurs, dit-il, et il est difficile de filtrer les entrées non pertinentes. Cela les expose au risque d’attaques par déni de service. Selon lui, l’endroit où la sécurité a le potentiel d’être la plus efficace est au niveau du système principal, pour lequel il existe déjà des outils de sécurité pour les réseaux et les bases de données.

Cependant, cela pourrait ne plus être vrai d’ici peu. Aamir Hussain, directeur de la technologie chez CenturyLink, dit que son entreprise travaille avec de jeunes entreprises qui tentent de créer des solutions en périphérique pour pallier les problèmes éventuels avant qu’ils n’atteignent le système principal. Dans tous les cas, M. Lewis croit que les personnes qui ont le gros bout du bâton en ce qui a trait à l’Internet des objets sont celles qui construisent les capteurs et qui établissent leurs protocoles de communication. Des entreprises comme GE, Honeywell, Lockheed et Boeing doivent s’entendre sur des normes auxquelles les autres peuvent adhérer (s’il est, en effet, possible de créer des normes englobant autant de dispositifs disparates). Pour avoir une idée de ce vers quoi se dirige l’industrie, il recommande de garder un œil sur les différents organismes qui cherchent à établir des normes et de prendre note de ceux qui participent, et avec qui. « Il faudra attendre de voir comment l’industrie réagira », dit-il.

« Il y aura beaucoup de confusion. L’Internet des objets présente des défis uniques en ce qui a trait à l’échelle, la diversité et l’intégration, pour n’en nommer que quelques-uns, ajoute M. Perkins. Certains fournisseurs font complètement fi de la sécurité en matière d’Internet des objets parce qu’ils considèrent qu’il s’agit d’une autre mode destinée bientôt disparaître et qu’ils pourront ensuite retourner à leur « vrai » travail. Néanmoins, d’autres fournisseurs commencent à regarder le modèle d’affaires de leurs partenaires en vue de déterminer la meilleure équipe avec qui s’associer, car il est extrêmement improbable qu’un seul fournisseur soit en mesure de fournir une solution d’ensemble à la plupart des scénarios de sécurité en ce qui concerne l’Internet des objets. »