ActualitéLes ExpertsObjets connectésOlivier EzrattyStartupTech

Quelles solutions pour sécuriser l’IoT ?

Une bonne partie des cyber-attaques n’ont pas attendu les objets connectés pour se développer. Leurs principales cibles étaient au départ les micro-ordinateurs puis les serveurs. Se sont ensuite adjoints les smartphones et tablettes. Les objets connectés ajoutent maintenant leurs lots de vulnérabilités liés à leurs spécificités, qui s’additionnent aux vulnérabilités existantes :

Lire aussi : Peut-on sécuriser l’Internet des objets ?

  • Les systèmes d’exploitation des objets connectés sont nombreux et pas toujours bien connus. Ils ont pour la plupart été lancés en 2015 : Brillo (Google), LiteOS (Huawei), Windows 10 IoT Core (lancé en partenariat avec Raspberry), Mbed OS (ARM). Ils n’ont pas de référentiels connus de sécurité et utilisent beaucoup de protocoles propriétaires. Et même Linux n’est pas à l’abri de hacks. «Au niveau de l’OS, sur un Linux par exemple, 4000 à 5000 vulnérabilités sont recensées publiquement chaque année. Il n’est pas possible de sécuriser un tel OS même dégrossi à 300 000 lignes de code» (lu sur le blog d’Octo).
  • Les architectures sont très hétérogènes. C’est à la fois dangereux et sécurisant. En effet, ce sont les plateformes les plus utilisées qui sont le plus attaquées en général comme nous l’avons tout juste vu avec Android.
  • Les objets connectés sont parfois oubliés avec leurs piles et batteries toujours en état de marche. Cela créé des situations de failles de sécurité différées dans le temps.
  • Leur sécurité physique est souvent compromise. Les objets connectés peuvent être hackés physiquement relativement facilement dans pas mal de situations.
  • L’intégrité logicielle des objets connectés lors de la mise à jour des objets n’est pas bien garantie, notamment en raison des failles de sécurité des réseaux sans fil utilisés. La sécurité des données stockées ne l’est pas plus côté serveurs. Cela peut compromettre la vie privée des utilisateurs même si celle-ci est autant menacée par l’usage des données qui en est fait par des sociétés commerciales classiques telles que Google que par des hackers.
  • Les objets connectés peuvent être piratés pour accéder aux réseaux dans lesquels ils sont intégrés comme au sein des entreprises. Les exemples qui circulent pour l’instant comme ceux concernant les grille-pain et autres ventilateurs connectés restent pour l’instant fictifs, mais la menace existe.
  • Une bonne part des objets connectés contenant des capteurs utilisent de faibles ressources, coutent peu cher, ont de simples micro-contrôleurs en guise de CPU ce qui limite l’usage de la cryptographie pour sécuriser leurs communications.

 

Les solutions de sécurisation de l’IoT

Réduire la surface d’exposition des objets connectés aux attaques est une tâche complexe. Elle requiert une connaissance architecturale de la chaine de valeur qui relie les objets au cloud. Il faut s’intéresser aux objets eux-mêmes, à leurs capteurs et processeurs, aux réseaux locaux et distants, aux protocoles de tout niveau, puis aux serveurs, à leurs logiciels et aux traitements des données qui y sont réalisés. Les besoins sont bien connus depuis des années (cf «Security needs in embedded systems» paru… en 2008). De nombreuses sociétés proposent des outils permettant de sécuriser telle ou telle partie de la chaine de valeur mais elles se positionnent depuis assez peu de temps dans les objets connectés.

Avec les technologies existantes, la sécurité est une affaire de méthodes et de processus. C’est ce qu’expliquait très bien Yann Allain de la société de conseil Opale Security à la conférence de Toulouse. Il expliquait le besoin de bien sécuriser toute la chaine de valeur et pas simplement l’objet lui-même. Il évoquait la menace globale provenant de l’absence de chiffrage des données de nombreux objets connectés, du manque de Web sécurisé, du manque de confidentialité des données, de la sécurité des mises à jour des firmware des objets, des couches électroniques. Il mettait en évidence le fait que nombre d’industriels ne savent pas évaluer la robustesse de leurs produits et que les outils de tests ne son pas encore répandus dans l’IoT. Il évoquait des standards de tests de sécurisation d’objets, aussi bien le JTAG que l’OWASP IoT.

Aviram Jenik, CEO de la start-up israélienne Beyond Security, basée à cheval entre Israël et la Silicon Valley, présentait ses outils qui permettent d’analyser les risques d’objets connectés en tout genre et d’identifier des failles de sécurité inconnues grâce à d’ingénieux mécanismes d’automatisation et de ciblage. Le système génère par exemple automatiquement des dépassements de buffers (buffers overflow), des chaines spécifiques (avec des %d, …), des chaines vides, des attaques et encodages divers. Il en déduit une cartographie des risques par objet et logiciels dans des systèmes complexes. Le CEO indiquait faire plus confiance aux machines qu’aux hommes pour identifier de manière systémique des failles de sécurité ! Il n’a probablement pas tort même si cela fait un peu froid dans le dos socialement parlant.

Dans la chaine de valeur des objets connectés, il faut commencer par les objets eux-mêmes. Ils comprennent souvent un chipset ou un micro-contrôleur à base de noyaux ARM. Les noyaux ARM les plus courants sont ceux de la série A que l’on trouve dans les chipsets de smartphones et tablettes et qui peuvent valoir plus de $10 et ceux de la série M que l’on trouve dans les micro-contrôleurs d’objets connectés qui valent autour de 1 dollar. Jusqu’à présent, ARM proposait de sécuriser les chipsets utilisant des noyaux de la série A avec sa TrustZone, une zone sécurisée permettant d’exécuter des traitements protégés, comme les systèmes de contrôle d’accès conditionnels dans les set-top-boxes de TV payante. ARM annonçait fin 2015 que cette technologie devrait aussi être intégrable dans les micro-contrôleurs à base de noyaux Cortex-M. En juillet 2015, ARM faisait l’acquisition de la start-up israélienne Sansa qui leur permettra de compléter la TrustZone avec une architecture de sécurité complémentaire logicielle et matérielle. Tout ceci arrivera dans la roadmap ARM en 2016 et donc, probablement, dans des chipsets sécurisés commerciaux en 2017 qui seront intégrés dans des objets connectés grand public d’ici 2018. Le processus prendra un peu de temps !

ARM and Sansa

La chaine de valeur de conception et de production des chipsets embarqués est cependant fragile. Elle s’appuie sur l’intégration de blocs fonctionnels d’origines variées («blocs d’IP»), avec des logiciels d’intégration divers et une fabrication dans des usines en Chine ou ailleurs qui ne sont pas forcément bien sécurisées. D’où l’émergence de solutions technologiques qui permettent de créer des chipsets ultra-sécurisés, surtout adaptées du fait de leur coût aux applications professionnelles. Dans le cas présent, les menaces ne proviennent pas de hackers mais plutôt d’Etats et de grandes sociétés impliquées dans de l’espionnage industriel.

Afin de sécuriser les chipsets d’objets connectés pour les applications exigeantes, la société française Prove & Run propose Provencore, un micro-noyau sécurisé et formellement prouvé. Il tourne sur des architectures matérielles à base de noyaux ARM et Intel x86. Dans les processeurs à noyaux ARM, Provencore tourne dans la TrustZone sur chipsets à base de noyaux Cortex A, mais fonctionne aussi sur architectures à base de Cortex M utilisée dans les micro-contrôleurs d’objets connectés. Cela semble être une alternative à la solution de Sansa, acquise par ARM. On ne risque en tout cas pas de voir apparaître ce genre de technologie dans sa brosse à dent connectée !

ProvenVisor-UC2-300x195

On retrouve une offre assez riche et du même genre chez Inside Secure, une société située à Aix en Provence. Elle aussi propose des blocs d’IP divers et noyaux sécurisés pour chipsets, utilisables notamment dans les systèmes de paiement sécurisés.

L’Institut de Recherche Technologique SystemX travaille de son côté sur son “chipset du futur” sécurisé dans le cadre du projet EIC et de la plateforme expérimentale CHESS (Cybersecurity Hardening Environment for Systems of Systems) qui doit servir à évaluer la cybersécurité de plateformes ciblant les marchés des des SmartGrids, de l’Usine du Futur, des transports connectés et autonomes ainsi que des services de l’Internet des Objets (voir leur vidéo de présentation).

En fait, les principales solutions de sécurisation du marché concernent les PC, smartphones et tablettes. C’est à la fois lié à la relative nouveauté des objets connectés mais aussi à la valeur marchande des cibles. Les pirates informatiques s’intéressent en premier lieu à l’opportunité de gagner de l’argent de manière frauduleuse ! D’où l’intérêt de solutions qui sécurisent les moyens de paiement.

Ercom lançait ainsi en partenariat avec Samsung au MWC de Barcelone sa solution Cryptosmart de sécurisation par chiffrement du stockage et des communications des smartphones et tablettes Samsung. Ercom est labellisé France Cybersecurity, membre de l’Association HexaTrust. CryptoSmart s’appuie sur une carte à puce certifié EAL5+ et une applette certifiée EAL4+. Il suffit de composer son code pour activer la sécurité par chiffrement local du terminal. Ercom propose aussi Mobipass, une solution en cloud de simulation et de tests de réseaux mobiles. Elle simule le fonctionnement de milliers de terminaux.

Le français Famoco propose quant à lui le FX100+, un terminal sécurisé fonctionnant sous Android et supportant le NFC, pouvant notamment servir de terminal de paiement. La société exposait à la fois au CES 2016 de Las Vegas et au MWC. C’est une manière d’isoler dans un terminal spécifique des fonctions qui requièrent un haut niveau de sécurité. Il est ciblé sur les applications professionnelles. On ne peut en effet pas raisonnablement attendre que les consommateurs utilisent ce genre de terminal en plus de leur smartphone.

Famoco FX100L’univers des opérateurs télécoms n’est pas en reste. La GSMA a publié début 2016 des guidelines pour sécuriser les architectures IoT, en partenariat avec des opérateurs télécoms issus de plusieurs continents : AT&T, Verizon, China Telecom, Etisalat, KDDI, NTT Docomo, Orange, Telefonica, Telenon ainsi que Gemalto. Les équipementiers télécoms ambitionnent aussi de compléter leurs offres pour sécuriser les réseaux de bout en bout, en plus de leur investissement conséquent pour se préparer aux déploiements à venir de la 5G. Ericsson présentait au MWC 2015 ses solutions de sécurisation orientées sur le stockage des données dans le cloud. De son côté, Nokia vient ainsi d’acquérir le canadien Nakina Systems, afin de sécuriser les réseaux 5G et de l’Internet des Objets. Ils ciblent comme les autres l’IoT grand public, les voitures connectées, la e-santé et le big data. Huawei veut aussi avoir son mot à dire dans la sécurisation des objets connectés. Il promeut une approche collaborative et la standardisation avec le reste de l’industrie.

J’ai aussi entendu parler de sécurisation de l’IoT via l’usage de BlockChains. Pourquoi pas. C’est séduisant d’un point de vue intellectuel. Mais cela pose des problèmes liés à la taille grandissante des BlockChains avec leur usage. Celle-ci peut facilement atteindre une taille bien trop grande, incompatible avec les réseaux M2M LPWAN (longue portée + bas débit comme Sigfox ou LoRa) dont les débits sont assez faibles.

Pour les start-up de l’IoT, BuiltItSecure.ly est une initiative américaine intéressante. Elle vise à rapprocher des créateurs d’objets connectés et spécialistes de la sécurité pour identifier et corriger rapidement les vulnérabilités identifiées et partager les bonnes pratiques en matière de sécurisation. Elle rassemble à ce jour huit constructeurs dont Belkin et Dropcam (qui fait partie de Nest / Google). Il reste du chemin à faire pour sensibiliser un plus grand nombre de sociétés du secteur !

En matière de sécurité de l’IoT se pose bien évidemment la question de la préservation de la vie privée pour les données collectées par les objets et consolidées dans des serveurs et dans le cloud. Cela peut aussi bien être dans le cloud de votre fournisseur d’objet connecté que dans iCloud d’Apple (pour iHealth). La sécurité pour l’utilisateur est dans ce cas à la fois une question technique (les serveurs sont-ils bien sécurisés ?) tout comme juridique et marketing (qu’en font les sociétés qui hébergent ces données ?).

Cet inventaire de solutions de sécurisation de l’IoT est certainement très incomplet. Je n’ai pas mené une recherche exhaustive du secteur. Cet article est surtout là pour poser le problème. Après avoir assisté à la conférence de Toulouse, je me suis rendu compte que les solutions de sécurisation de l’IoT existantes étaient surtout utilisées par les concepteurs de systèmes embarqués critiques liés à l’aérospatial, à la sécurité et à la défense. Qu’en est-il des start-up qui créent des objets connectés grand public avec de faibles financements et après un simple prototypage en Fablab? On est loin dans ce cas des méthodes des sociétés établies de l’embarqué ! Il existe donc une opportunité pour créer des solutions très packagées de sécurisation d’objets connectés grand public et aussi pour l’accompagnement des start-up du secteur. Les accélérateurs et Fablabs vont avoir besoin d’experts en sécurité !

[tabs] [tab title= « A propos »]

Olivier-EzrattyOlivier Ezratty est consultant en nouvelles technologies et auteur d’Opinions Libres, un blog sur les médias numériques (TV numérique, cinéma numérique, photo numérique), et sur l’entrepreneuriat (innovation, marketing, politiques publiques…). Olivier est expert pour FrenchWeb.

 

[/tab] [/tabs]

Crédit photo: Fotolia, banque d'images, vecteurs et videos libres de droits
Tags

Les Experts

Les Experts sont des contributeurs indépendants de FrenchWeb.fr.

Sur le même sujet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Share This