Les deux faces de l’Internet des Objets : Facilité et Sécurité

2014 est l’année de l’Internet des Objets. Après le CES de Las Vegas, nul ne peut ignorer le buzz autour de ce nouveau paradigme. Eldorado ou cauchemard, l'Internet des Objets comme toute nouveauté a deux faces bien distincte l'une de l'autre.  

Côté Pile : L’eldorado de l’IoT

L’Internet des Objets ? Un terme générique pour des objets intelligents, souvent des systèmes embarqués,  capables de percevoir et analyser et pour certains changer le contexte physique dans lequel ils se trouvent. On pense ici aux lunettes de Google, à la voiture intelligente sur laquelle tous les constructeurs automobiles se penchent, à la box qui devient l’ordinateur central de la maison, mais également aux produits de santé personnelle comme votre brosse à dent et aux technologies médicales comme le pilulier intelligent pour faciliter la prise de médicaments.  Tous ces objets connectés sur Internet transmettront des informations avec des opérateurs capables d’offrir en retour des services à forte valeur ajoutée.

John Chambers, le charismatique patron de CISCO, a prédit (allez savoir pourquoi ! laugh) un bel avenir à cette nouvelle forme d’informatique : 19 milliards de milliards de dollars ($19 trillions) dans les années à venir. Pour 2020, Gartner prévoit un marché de 26 milliards d’objets connectés pour un impact économique de 1,9 milliards de milliards de dollars.

Côté Face : Le cauchemar de la sécurité

Pour le côté face, la sécurité, l’histoire est moins belle. Pour reprendre le titre d’un article de Bruce Schneier dans Wired: « The Internet of Things Is Wildly Insecure — And Often Unpatchable ».

Pour cet expert de la sécurité, nous sommes à la veille d’une crise en matière de sécurité des systèmes embarqués. L’Internet des Objets est basé sur des systèmes qui sont développés sur des puces spécialisées, peu chères et aux marges très minces. Vite développés, les puces sont soumises à des tests de sécurité très limités et fournis à des fabricants de systèmes qui les assemblent, ajoutent éventuellement une ou deux features, s’assurent que tout marche bien et commercialisent leur solution.  Les logiciels utilisés sont basés sur des technologies éprouvées ayant fait leurs preuves. Souvent il est impossible d’apporter des correctifs ou de mettre à jour le logiciel. Il n’existe pas de procédure automatique et les consommateurs n’ont pas l’expertise pour administrer ces objets.  Personne dans cette chaîne de valeur ou le prix et la rapidité de mise sur le marché priment, n’a aucun intérêt à prendre en compte des exigences de sécurité élevées.

hackerLa prédiction est alors simple. Demain, il y aura des millions de devices connectés à nos systèmes d’information qui seront hors de notre contrôle, ne seront pas sécurisés et sur lesquels il sera impossible d’appliquer le moindre correctif de sécurité.  

L’Internet des Objet va devenir le paradis des hackers et autres cybercriminels.

 

Améliorer la sécurité : le défi de l'Internet des Objets

Pour sortir de ce cauchemar, il y a un certain nombre de pistes de différents ordres :

  • Critère communDu point de vue de la gouvernance d’Internet, il faut une autorité de contrôle forte qui impose un certain niveau de sécurité aux produits mis sur le marché. C’est déjà le cas pour les systèmes embarqués dans les industries de l’avionique et de l’automobile ou dans une moindre mesure sur la médecine. Il va falloir se pencher sur les différents marchés comme le smarthome, les loisirs, le bien-être…
  • Du point de vue de la technologie, il faut travailler sur un mécanisme de mise à jour automatique qui rende possible et économiquement viable les mises à jour. L’exemple des AppStores montre qu’il est possible de gérer un parc d’apps de manière automatique sans inclure l’utilisateur final.  
  • Du point de vue social, il faut enfin, et surtout, sensibiliser les utilisateurs à l’importance de la sécurité et ses impacts. Un des enseignements de notre étude sur les RSSI montrent que ces derniers reconnaissent que l’utilisateur est le maillon faible de la chaîne et qu’ils doivent l’éduquer. Pourquoi ne pas créer à l’école de programmes d’éducation à la sécurité d’Internet au même titre que la sécurité routière. La vie de nos enfants prend une forme numérique de plus en plus importante.