Sécurité, normes et lois dans l’Internet des objets

Dans le passé, vous avez déjà commenté les lacunes de sécurité des dispositifs de l'Internet des objets (IoT). Plusieurs facteurs jouent un rôle dans la compromission de la disponibilité, de la confidentialité et de l'intégrité des données : d'une part, l'absence de normes et d'exigences légales, d'autre part, l'absence partielle d'options de mise à jour.

Il est un fait que dans de nombreux cas, les aspects de sécurité sont négligés lors du processus de développement d'un produit. Dans d'autres cas, les fonctionnalités annoncées ne sont pas publiées au début ou ne sont soumises qu'à une date ultérieure. Les cyniques appellent cela la "banane consciente", qui n'atteint sa pleine maturité que sur le chemin du client ou après la vente - tout comme les bananes, d'où son nom. Dès qu'une faille de sécurité est découverte, ils s'efforcent de la réparer - jusqu'à ce que la faille suivante projette son ombre. Les experts vous mettent en garde depuis longtemps : la sécurité fait déjà partie du processus de développement d'un produit. Un produit qui est déjà terminé aux deux tiers ne peut pas être garanti rétroactivement. Soit dit en passant, cette sagesse ne se limite pas au côté logiciel, mais aussi au matériel lui-même.

La clé de l'Internet des objets est une capacité de calcul bon marché et une faible consommation d'énergie. De nombreux composants prêts à l'emploi sont utilisés à cette fin. Les puces spécialement fabriquées sont rares et ne sont utilisées que si une certaine fonction ne peut être réalisée d'une autre manière. De nombreux appareils intelligents que vous pouvez acheter aujourd'hui ne possèdent pas de véritable microprocesseur (également appelé CPU), mais fonctionnent avec des microcontrôleurs. La plupart des processeurs modernes dont nous disposons aujourd'hui sont des processeurs polyvalents dotés d'une grande capacité de calcul et capables de couvrir un large éventail de tâches. L'utilisation d'une telle unité centrale pour un appareil IdO serait une perte de temps et rendrait les appareils très coûteux. En revanche, le microcontrôleur, tel qu'il le trouve dans un régulateur de chauffage ou un réfrigérateur, a une très faible capacité de calcul - mais c'est tout ce qu'il faut, puisque l'appareil n'a qu'une poignée de fonctions. D'une part, l'utilisation de composants à faible puissance et comparativement peu informatisés rend les appareils abordables, mais d'autre part, une puissance de calcul beaucoup plus importante est nécessaire pour établir des réseaux et une véritable "intelligence". C'est là que les plateformes de nuages entrent en jeu. D'une certaine manière, les appareils deviennent de simples dispositifs d'entrée et de sortie d'une plate-forme de nuage, sur laquelle l'utilisateur n'a pas de réel contrôle. Vous discuterez également de cet aspect plus tard. Outre le fait que les microcontrôleurs constituent une bonne alternative peu coûteuse à un "gros" processeur, il leur manque également certaines des caractéristiques de sécurité dont dispose un processeur - et même dans les processeurs modernes, la sécurité des composants matériels n'est pas sans poser problème.

L'isolement des processus garantit qu'une certaine zone de mémoire est inaccessible à d'autres programmes. Cela garantit également que l'ensemble du système fonctionne de manière stable et ne peut être facilement manipulé. Sur le plan matériel, cela se fait au moyen d'une unité de gestion de la mémoire, ou MMU en abrégé. En d'autres termes, une application doit d'abord demander à la MMU avant de pouvoir accéder à une certaine zone de mémoire. Cette MMU est souvent absente des microprocesseurs. Cependant, l'absence de cette MMU n'est pas le seul problème qui peut conduire à la compromission des données. Les délais de mise sur le marché étant de plus en plus courts, les fabricants doivent faire un effort massif pour sécuriser leurs produits et leurs plateformes - l'absence de dispositifs de sécurité dans le matériel utilisé n'est pas d'un grand secours à cet égard. Et, comme si tout cela n'était pas assez difficile, la sécurité a souvent un impact négatif sur l'expérience de l'utilisateur ou sur les performances d'un appareil ou d'un programme. Il en résulte une construction très bancale dans laquelle la sécurité n'est pas la chose la plus importante. En théorie, il suffit souvent de "retourner" un seul bit dans la bonne zone de mémoire pour obtenir des droits plus élevés sur le système. Une fois que vous avez accroché un appareil aussi vulnérable sur un réseau, il y a de quoi s'inquiéter. Ne jamais connecter un dispositif IdO au réseau résoudrait le problème, mais ce serait une erreur totale.

Nos PC et smartphones reçoivent des mises à jour régulières, tant pour les programmes installés que pour le système d'exploitation. La situation est différente pour les dispositifs IdO. Certains appareils reçoivent des mises à jour via Internet. D'autres nécessitent une intervention manuelle et d'autres encore n'ont aucune possibilité de mise à jour, ce qui provoque des nuits blanches pour les experts en sécurité du monde entier. L'installation de mises à jour  reste l'une des mesures les plus importantes pour sécuriser tout système informatique. Dans le monde de l'IdO, les mises à jour sont relativement rares.

De nombreux appareils dans le segment de prix inférieur n'ont pas d'option de mise à jour, tandis que d'autres exigent que vous téléchargiez un fichier vous-même et que vous l'installiez sur l'appareil. L'expérience montre qu'il n'est pas favorable à la sécurité de compter sur l'utilisateur pour télécharger et installer lui-même les mises à jour. Microsoft a appris cette leçon de manière désagréable lorsque des logiciels malveillants comme Sasser ont fait leur apparition à la fin des années 90. Des mises à jour existaient à l'époque, mais elles n'étaient pas encore automatisées. Le résultat a été que des centaines de milliers de PC ont été infectés.

 Beaucoup de choses ont changé depuis lors :

Les utilisateurs n'ont pratiquement rien à faire eux-mêmes pour maintenir leur système d'exploitation à jour. En ce qui concerne le matériel IdO, vous êtes encore loin de ce statut. Chaque fabricant a sa propre approche, de la plus automatisée à la plus manuelle, en passant par l'absence de mises à jour. Il est intéressant de noter que, dans le passé, certains fabricants étaient même explicitement opposés aux mises à jour. Par exemple, une porte-parole du fabricant Nest 2014 a déclaré : "La raison pour laquelle vous avez retiré le produit est que vous ne vouliez pas vendre un produit qui avait besoin d'une mise à jour". Ce serait bien de ne pas avoir à s'inquiéter de devoir constamment mettre à jour tous vos appareils - mais cela signifierait d'une part qu'il n'y a pas de progrès du tout et que les logiciels "par conception" sont sûrs - ce qui n'est pas le cas dans la pratique.

L'un des défis lorsqu'il s'agit de fournir des mises à jour est la disponibilité d'une connexion à l'appareil. De nombreux appareils inactifs passent en mode "veille". Cela signifie que les appareils eux-mêmes ne peuvent pas lancer une mise à jour. Dans un système qui fonctionne avec un composant central du hub, il serait possible de déclencher une mise à jour, mais il n'existe pas de norme sectorielle qui s'applique à tout le monde, de sorte que chaque fabricant a une solution individuelle. Les mises à jour des dispositifs IdO ne doivent pas être trop importantes ni provoquer de trop longues interruptions de fonctionnement.

Les fichiers de petite taille sont souhaitables pour plusieurs raisons : tout d'abord, la plupart des appareils IdO n'ont tout simplement pas la puissance de traitement nécessaire pour installer une mise à jour complète en peu de temps. Deuxièmement, une mise à jour "allégée" garantit également que l'ensemble du système est évolutif. Des mises à jour trop importantes peuvent être un fardeau pour un réseau si elles sont téléchargées des milliers de fois. Il serait donc logique de travailler à l'échelle de l'industrie avec des mises à jour "en direct" (OTA). Les mises à jour fournies directement par le fabricant pourraient éliminer les sources d'erreur potentielles (telles que les erreurs de l'opérateur lors de l'installation des mises à jour) et éviter des rappels de produits coûteux. Ce n'est pas qu'il n'y ait pas de technologies disponibles - c'est le contraire qui est vrai.

Les fabricants qui fournissent des mises à jour OTA pourraient à la fois améliorer la sécurité et créer de nouvelles opportunités commerciales, telles que le déblocage de "fonctionnalités premium". Un inconvénient potentiel est principalement lié au risque qu'une mise à jour puisse rompre la compatibilité avec d'autres composants. Selon l'environnement dans lequel un dispositif IdO est utilisé, une mise à jour peut également nécessiter la rectification d'un dispositif. Cela affecterait plusieurs secteurs d'activité, comme les soins de santé. Les processus de certification dans ce domaine devront également être revus et remaniés si vous voulez inclure l'Internet des objets, il est donc clair que beaucoup plus de facteurs jouent un rôle dans ces considérations qu'il ne pourrait le penser à première vue.

Plusieurs choses doivent se produire si vous voulez améliorer durablement la sécurité dans l'Internet des objets. Outre le fait que des changements fondamentaux sont déjà appropriés en phase de développement, les fabricants devraient faciliter ou au moins rendre possible l'installation de mises à jour. Étant donné que de nombreux appareils intelligents (par exemple les prises intelligentes) n'ont aucune option de saisie, à l'exception d'un bouton sur la face avant, la solution ne peut être que ces mises à jour OTA.

Comme le monde des PC l'a déjà démontré, dans la majorité des cas, il n'est pas judicieux de rendre l'utilisateur seul responsable de l'installation des mises à jour. Comme de nombreux dispositifs intelligents sont susceptibles d'être utilisés pendant une longue période, les fabricants doivent également s'engager à fournir au moins des mises à jour de sécurité pour toute la période d'utilisation si le matériel sous-jacent ne prend pas en charge certaines améliorations fonctionnelles. Elle devient également plus complexe par endroits : de nombreux écosystèmes de l'IdO peuvent désormais être mis en réseau, par exemple avec Amazon Echo. Cela signifie que les connexions entre tous ces systèmes doivent également être correctement sécurisées. Par exemple, si quelqu'un veut vérifier sur le chemin du travail si les lumières du salon sont éteints, au moins deux systèmes basés sur les nuages sont déjà impliqués : l'utilisateur contacte le système Amazon, qui à son tour contacte le système du fabricant dont il veut contrôler les appareils. Si l'une de ces connexions est compromise ou si les données transmises sont manipulées, cela peut constituer un risque pour la sécurité. Il y a aussi l'aspect de la commodité par rapport à la sécurité. Pour chaque plateforme de cloud computing, vous aurez besoin d'un compte utilisateur distinct. Si vous avez l'intention de mettre en réseau différents systèmes entre eux, ces données doivent également être stockées dans un endroit approprié, comme Amazon Echo.

Une nouvelle loi est actuellement en cours d'introduction aux États-Unis, qui obligera les fabricants de dispositifs IdO à assumer une plus grande responsabilité pour leurs produits. Si cette loi est adoptée sous cette forme, chaque appareil devra disposer d'un certificat indépendant attestant d'une certaine norme de sécurité. De même, un fabricant devrait mettre au point un processus pour désactiver les dispositifs dangereux. Il devrait également fournir des mises à jour qui soit comblent les "failles de sécurité connues" (répertoriées dans le NVD ou une base de données similaire), soit limitent la connectivité d'un appareil. Par ailleurs, un fabricant peut demander une exemption s'il peut prouver qu'une vulnérabilité ne peut pas (plus) être exploitée par une mesure particulière.

Le projet de loi contient même un passage stipulant que toute faille de sécurité doit être divulguée et corrigée "dans un délai raisonnable". La protection correcte des connexions fait également partie du projet. Les données d'accès codées en dur qui ne peuvent pas être modifiées par l'utilisateur deviendraient illégales lorsque la loi entrera en vigueur. Toutefois, comme il est difficile de prévoir l'évolution du secteur du matériel et des logiciels, même pour les cinq prochaines années, ce sera un défi intéressant. En tout état de cause, le projet de loi aborde de nombreuses questions qui concernent les experts en sécurité.

En matière de sécurité, de nombreux fabricants courent le risque de manquer le bateau. Cependant, il ne sera pas facile de démêler l'enchevêtrement confus qui compose actuellement l'Internet des objets. Et il est important de ne pas laisser la diversité tomber à l'eau - il y a beaucoup de bonnes idées qui méritent d'être mises en œuvre. Tout le monde devrait avoir autant de robinets d'eau et de robots aspirateurs avec accès WLAN et de machines à laver intelligentes qu'il le souhaite, mais une chose est sûre : si la sécurité est mise de côté, les entreprises et les particuliers auront beaucoup de mal à s'en sortir.

Cela prendra plus de temps si une entreprise le développe en pensant à la sécurité dès le départ. À long terme, cependant, cette prétendue lenteur est la clé pour pouvoir réagir plus rapidement aux violations de la sécurité. Plutôt que de se précipiter et d'aggraver le problème ou d'en créer cinq nouveaux du même coup, vous devriez procéder avec prudence. Les rappels de produits coûteux et les lourdes mises à jour manuelles seraient au moins réduits, voire complètement éliminés. Inclure la sécurité dans le processus de développement dès le début ne devrait pas prendre beaucoup plus de temps que le temps nécessaire lorsqu'une entreprise tente de réparer après coup un concept de sécurité négligé.

Tout cela est une bonne idée - mais vous n'avez pas encore atteint votre objectif. Les experts en sécurité ont assez souvent lu la loi anti-émeute aux fabricants de dispositifs dangereux et ont fait de nombreuses suggestions d'amélioration. Il appartient maintenant à l'industrie de les mettre en œuvre. La meilleure stratégie qu'elle puisse adopter ici est de ralentir le rythme du développement lui-même - pour pouvoir réagir plus rapidement aux nouvelles menaces - "dépêchez-vous et prenez votre temps". Dans la deuxième partie de cet article, vous examinez le conflit entre la convivialité et la sécurité dans l'Internet des objets et vous envisagez les stratégies futures qui peuvent signifier plus de sécurité.