L’Internet des Objets et la Sécurité


L’industrie des logiciels doit évoluer pour s’adapter à l’IoT (Internet of things).

Actualités, Cybersécurité // 29/03/2016

J’ai récemment participé à la Conférence Cyber3 à Okinawa, au Japon. Cet événement était organisé par le gouvernement japonais et le Forum économique mondial. Je faisais partie d’un panel chargé d’échanger sur la cyber sécurité dans le contexte de la connectivité croissante des appareils et des « objets » en général. L’article suivant reprend les thèmes abordés pendant la discussion.

En termes de sensibilisation à la cyber sécurité, l’Internet des Objets (Internet of Things, IoT) a au moins 20 ans de retard par rapport à l’industrie des logiciels.

Souvenez-vous de Microsoft avant son initiative Trustworthy Computing : pas de mises à jour automatiques ni de pare-feu, prise en charge des fonctionnalités et des anciennes applications qui passait outre les exigences de sécurité, et contrôle très faible sur ce que les développeurs tiers avaient le droit de faire sur le système d’exploitation.

L’exemple de Microsoft montre bien les avantages qu’un fournisseur peut obtenir en prenant la sécurité au sérieux. Si Windows 95 était un système catastrophique, Internet était un terrain de jeu heureusement moins dangereux à l’époque. Windows 10 est non seulement un système d’exploitation extraordinairement sûr, mais au fil des ans, Microsoft a déployé d’importants efforts pour se débarrasser du code existant en dévalorisant et en supprimant des fonctionnalités qu’il ne serait désormais plus très sage d’utiliser. Du point de vue de la sécurité, Microsoft est aujourd’hui une entreprise radicalement différente de celle de 1995. Si Windows XP était plus ou moins adapté à Internet en 2002, ce n’est plus le cas aujourd’hui. Et qui est le premier à le dire ? Microsoft !

Pour on ne sait quelle raison, Linux, l’une des plates-formes IoT les plus populaires, souvent sous la forme d’Android, connaît actuellement les mêmes problèmes : les correctifs de sécurité (bien qu’ils soient généralement produits) ne parviennent pas aux utilisateurs finaux, car les administrateurs des différentes distributions (type de tiers) ne considèrent pas les mises à jour de sécurité comme une priorité essentielle.

Par conséquent, il y a sur Internet de plus en plus d’appareils grand public, d’appareils IoT et d’applications IoT industrielles non mis à jour et de moins en moins sûrs.

À l’instar de Windows 95 en son temps, j’ai le sentiment que l’IoT en général n’est pas prêt pour Internet et compte tenu de la croissance des appareils IoT, je crains qu’on assiste bientôt à un renversement de tendance : Internet n’est pas prêt pour la menace que représente l’IoT.

J’exhorte les fabricants IoT à tirer les leçons de l’industrie des logiciels et à commencer à se pencher sérieusement sur la gestion des vulnérabilités. J’encourage également les entreprises à se familiariser avec les deux normes ISO sur la gestion de la vulnérabilité des fournisseurs. Attention, ces normes sont payantes : ISO/IEC 29147:2014, ISO/IEC 30111:2013.

De la même manière, j’invite les fabricants à accepter le fait que les utilisateurs finaux, les chercheurs et les gouvernements s’intéressent à la sécurité de leurs produits, et à s’en féliciter. Préparez-vous à recevoir des rapports de vulnérabilité que vous devrez gérer en public. Participez aux programmes Bug Bounty, créez des exceptions EULA pour faciliter les recherches sur la sécurité, et adaptez votre processus de développement pour qu’il réponde efficacement aux vulnérabilités de sécurité critiques. Sachez qu’il existe des programmes Bug Bounty hébergés pour vous aider.

Parfois, les problèmes liés à la sécurité de l’IoT sont moins évidents… Pensez par exemple aux voitures sans chauffeur qui prennent leurs décisions en fonction d’algorithmes. Que faire s’il n’y a que des mauvais choix ? La voiture doit-elle choisir de renverser un seul piéton pour éviter de foncer dans la foule ? Que faire si ce piéton est un enfant, et que la foule est constituée de personnes âgées ? Que faire s’il s’avère que l’accident aurait pu être évité si les autres véhicules avaient réussi à échanger leurs données télémétriques ? Que faire s’il s’avère que les données télémétriques étaient indisponibles en raison de problèmes sur le réseau cellulaire local, ou de problèmes dans le Cloud ? Ces hypothèses se déclinent à l’infini.

L’autre jour, j’ai eu une discussion très intéressante avec Mark Deem, avocat et associé chez Cooley, un cabinet juridique britannique. M. Deem m’a fait remarquer qu’il n’existait pas de précédent juridique concernant la responsabilité de la prise de décision algorithmique. La notion juridique la plus récente date des lois en vigueur à l’époque de la Rome antique. À cette période, on considérait que les dommages causés par un esclave relevaient de la responsabilité de son propriétaire.

Mais quel est l’équivalent moderne du maître de l’esclave ? Le passager de la voiture sans chauffeur ? L’entreprise de leasing ou de financement qui possède réellement la voiture ? Le revendeur ou le concessionnaire ? Le fabricant de la voiture, qui tient à garder les droits du logiciel ? Le sous-traitant qui a écrit le code ? Les organismes de réglementation qui ont émis (ou non) la directive ?

Si les mentalités concernant la sécurité et la manière dont les logiciels sont développés et mis à jour n’évoluent pas, nous devons nous préparer à une catastrophe de grande ampleur.

F-Secure va annoncer le lancement d’une nouvelle solution de sécurité pour les appareils IoT dans les foyers et les petits bureaux. Pour nous, c’est la bonne démarche. Il est impératif que les appareils IoT puissent fonctionner dans un environnement relativement bien sécurisé. C’est ironique, d’ailleurs, car la plupart des appareils sont simplement connectés à Internet, sans aucune protection externe.

N’oublions pas ce que Charlie Miller et Chris Valasek ont découvert avec l’uConnect de Chrysler. Les Jeeps étaient directement connectées au réseau cellulaire Sprint ! Une fois que Chrysler a compris que les véhicules dotés d’uConnect acceptaient les connexions entrantes, les opérateurs mobiles ont rapidement appliqué une protection de filtre de trafic pour protéger les voitures vulnérables.

Il est grand temps d’adopter une approche globale similaire pour sécuriser l’IoT. La sécurité doit provenir des couches extérieures si l’appareil est incapable de se défendre seul.

Actuellement, l’IoT est perçu comme une manière d’apporter une connectivité réseau à des appareils physiques. Mais il faut changer ce point de vue, et bien comprendre que l’objectif est de transformer le modèle économique, non plus fondé sur la vente des appareils, mais sur les services payants. Une fois que l’on comprend que le service devient une source de revenus et que l’appareil ne sert plus qu’à véhiculer ce service, on peut commencer à appréhender l’importance de la protection de ces appareils.

Ils ne sont pas simplement des appareils que le client a rapportés chez lui : ils font partie intégrante de la chaîne de valeur.

La mise en réseau est un processus simple. Ce qui est difficile, c’est d’en comprendre le potentiel et les implications. Ce n’est pas un exercice technologique, mais plutôt un exercice économique, sociétal et psychologique. Nous avons autant besoin d’économistes que de bons ingénieurs.

Erka Koivunen, Cyber Security Advisor F-Secure

2 commentaires sur “L’Internet des Objets et la Sécurité

  1. Les appareils connectés sont actuellement devenus les nouvelles proies des pirates informatiques. Par conséquent, il faut que les concepteurs accordent une très haute importance à la sécurisation de ces derniers.

    J'aime

  2. Ping : #interview : quels sont les enjeux de la cybersécurité

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s