Le projet de recherche suédois CEBOT relève l’un des défis de sécurité majeurs de l’IoT

Le défi consistait à attribuer des identités approuvées à des objets aux ressources limitées – un problème de sécurité devenu préoccupant avec l’expansion de l’Internet of Things (IoT). « Nous avons résolu ce problème d’enregistrement de certificats en concevant un nouveau protocole, ultra léger et entièrement automatisé », explique Shahid Raza, chercheur senior au SICS (Swedish Institute of Computer Science) et chef de projet de CEBOT.

Une fondation saine à toute solution de sécurité est d’attribuer une identité approuvée aussi bien aux personnes qu’aux applications logicielles ou aux objets physiques. Si vous ne savez pas avec qui vous communiquez, peu importe que votre connexion numérique soit solidement chiffrée, ou que vos locaux soient bien surveillés.

« Dans le cadre d’internet, le meilleur moyen de permettre l’enregistrement d’identités approuvées est de s’appuyer sur une infrastructure à clés publiques [PKI, pour Public Key Infrastructure]. Mais dans une PKI, ce processus d’enregistrement pose un réel problème », précise Shahid Raza.

Dans une PKI, des certificats numériques sont utilisés pour attribuer de façon sécurisée les identités électroniques et les clés de chiffrement.

« Cela signifie que des personnes ou des objets peuvent échanger avec d’autres personnes ou objets sans connaissance préalable de l’interlocuteur, pour peu que chacun détienne un certificat signé par une entité tierce, que l’on nomme autorité de certification », explique Raza.

Une personne peut, par exemple, s’adresser à un organisme tel que sa banque pour obtenir la signature de son certificat ; le propriétaire d’un objet IoT doté d’une interface utilisateur peut, en s’authentifiant, demander à l’autorité de certification de signer le certificat de l’objet.

« Mais beaucoup d’objets que l’on connecte aujourd’hui n’ont pas d’interface utilisateur, et quand ce sont des milliards d’objets qui doivent être enregistrés, le processus doit être automatisé. Il existe déjà des protocoles d’enregistrement, mais ils sont trop lourds pour des objets aux ressources très limitées. Et ces protocoles ne sont pas entièrement automatisés. »

Le projet CEBOT (Certificate Enrollment for Billions of Things) a été lancé en septembre 2015 pour résoudre ce problème d’enregistrement ; aujourd’hui, alors que le projet doit encore durer six mois, un nouveau protocole ultra léger a été développé et implémenté.

« Si vous achetez par exemple une lampe intelligente, le fabricant y a déjà implémenté un certificat. La première fois que vous branchez la lampe, elle communique automatiquement, via le nouveau protocole, avec l’autorité de certification, afin d’obtenir l’enregistrement de son certificat. »

Une fois le certificat signé, la lampe possède une identité de confiance, et peut communiquer de façon sécurisée avec d’autres identités de confiance.

« Ici au SICS, nous avions déjà participé au développement de protocoles légers pour l’IoT, une expérience sur laquelle nous nous sommes appuyés pour le développement de ce nouveau protocole, encore plus léger. »

Ce nouveau protocole porte le nom du projet : CEBOT. Selon Raza, la conception d’un protocole adapté à des objets disposant de très peu de mémoire et d’énergie a constitué un véritable défi.

« J’ai présenté ce protocole à de nombreuses personnes, dans de nombreux lieux, et les organisations ont montré un grand intérêt. Le défi consistait à attribuer des identités approuvées à des objets aux ressources limitées – un problème de sécurité devenu préoccupant avec l’expansion de l’IoT. »

Le protocole CEBOT est actuellement en cours d’évaluation, et la prochaine étape consistera à tenter d’obtenir sa standardisation par l’IETF (Internet Engineering Task Force), l’organisation responsable de la normalisation de la plupart des protocoles utilisés sur Internet.

« Compte tenu du grand intérêt qu’a suscité CEBOT, nous pensons qu’il deviendra un standard. Et comme il n’existe pas d’autres solutions d’enregistrement automatisé de certificats numériques pour les objets aux ressources limitées, cette standardisation pourrait même intervenir rapidement. »

Même si CEBOT ne devient pas un standard, il pourra malgré tout être utilisé, comme bien d’autres protocoles non standardisés.

« En l’absence de standardisation, seuls des objets dans lesquels le protocole aura été implémenté pourront communiquer entre eux, naturellement. Si vous voulez que votre lampe Philips, par exemple, puisse communiquer avec les services cloud d’Amazon, vous devrez utiliser un protocole standard. »

Et si CEBOT devient un standard, selon Raza il sera très largement utilisé. Le projet CEBOT est soutenu par de grandes entreprises telles que Husqvarna, Ericsson, Saab, SUST, Yanzi Networks, Intel et Scypho.

« Je pense que beaucoup d’autres organisations souhaiteront utiliser ce protocole pour résoudre leur problème d’enregistrement de certificats. CEBOT est la pièce manquante de la sécurité de l’IoT. Mais d’autres protocoles permettant de résoudre ce problème pourront voir le jour, et être standardisés. Il appartiendra alors à chaque organisation de décider quels protocoles utiliser. »

Le projet CEBOT est le fruit de la collaboration entre le SICS et la société suédoise de sécurité et de gestion des identités Nexus Group.

« Le SICS est responsable de la partie client. Nous avons réalisé l’implémentation pour des objets IoT aux ressources limitées fonctionnant sous système d’exploitation Contiki. La société Nexus, quant à elle, est en charge de la partie serveur, à savoir l’autorité de certification. Leurs ingénieurs ont implémenté le protocole CEBOT sur la plateforme logicielle Nexus Certificate Manager, qu’ils utilisent pour générer et gérer toutes sortes d’identités électroniques. »

Au cours du premier semestre 2017, le nouveau protocole sera implémenté dans des produits finalisés, et intensivement testé.

« Et lorsque le projet CEBOT aura pris fin, en juin 2017, nous nous appuierons sur ce travail pour démarrer un nouveau projet sur trois ans, baptisé SecureIoT, financé par le programme Eurostars. Avec nos partenaires suédois et sud-coréens, nous poursuivrons les tests du protocole en conditions réelles, tout en continuant à travailler sur d’autres problématiques liées à l’IoT. »

Le SICS consacre également des fonds à un autre projet, dont l’objectif est de concevoir une structure totalement nouvelle pour l’IoT en environnement PKI.

« Les résultats obtenus avec CEBOT seront utilisés dans ce projet également. Si nous ne pouvons pas encore dire à quoi ressemblera le nouveau système PKI, nous savons déjà que nous devrons tous utiliser le même langage, et ce langage est le protocole CEBOT », conclut Raza.

Published 19/1 2017

News and Blog