Comment sécuriser des objets connectés avec des identités numériques

Etablir des identités numériquse sécurisées basées sur des certificats est une étape cruciale de la gestion des risques pour l’Internet des Objets (IoT). Dans ce texte, l’expert de l’IoT, Arno Fiedler, donne un apercu de la façon dont cela est fait.

Parallèlement aux possibilités croissantes offertes par les applis mobiles, la mise en réseau graduelle de notre environnement domestique s’intensifie : imprimantes, téléviseurs, ampoules intelligentes, caméras ou encore digicodes, désormais tous ces objets du quotidien se connectent à internet. Dans le monde entier, des millions de points d’accès WLAN, d’amplificateurs et d’adaptateurs ont été installés dans des foyers. Des assistants vocaux tels qu’Alexa d’Amazon et Google Home nous mettent en contact permanent avec une offre d’une affolante diversité.

Les identités électroniques au cœur de la sécurité

Si l’internet des objets (IoT) est déjà une réalité dans de nombreux foyers, la compréhension des risques en termes de sécurité est encore largement insuffisante. Et il est urgent de remédier à cette situation, car ces risques ne concernent pas seulement la confidentialité des informations, mais peuvent également poser de sérieux problèmes de sécurité, pour peu que des pirates aient eu un accès préalable aux données, ou que le répéteur WLAN diffuse les mots de passe en clair.

Pourquoi 2018 est l’année pour dire enfin adieu aux mots de passe

Comme dans d’autres domaines de la sécurité réseau, une étape essentielle vers le contrôle des risques est l’attribution d’identités certifiées aux objets de l’IoT. De telles identités, infalsifiables, peuvent être attribuées à tout hôte du réseau (qu’il s’agisse d’un appareil, d’un utilisateur, d’un processus, d’un code de programmation, etc.), contribuant fortement ainsi à renforcer la sécurité, par l’intermédiaire de procédures d’authentification et d’autorisation s’appuyant sur ces identités. Les certificats électroniques associés aux identités, et attestant de leur authenticité, peuvent également contenir les clés ainsi que d’autres informations nécessaires au chiffrement des communications ou à la signature de documents électroniques.

Nécessité d’autorités de certification de confiance

La gestion des identités électroniques certifiées nécessite une ou plusieurs infrastructures dédiées, afin de garantir une identification permanente et fiable des objets et des usagers, ainsi que la prise en charge de l’authentification et de l’attribution de droits basées sur les identités. Les autorités de certification doivent être en mesure de pourvoir aux besoins de tous les hôtes du réseau en termes d’identités et de certificats numériques.

Difficultés liées à la gestion des identités numériques

L’élaboration et la maintenance d’infrastructures dédiées à la gestion des identités (et donc des certificats) numériques, pour chacun des hôtes du réseau, représente un réel défi, notamment lorsque ces hôtes sont aussi nombreux que diversifiés. Outre les problématiques liées à la collecte et à la définition des identités, il s’agit de résoudre les questions portant sur la décentralisation et la haute disponibilité des bases de données, afin de s’assurer que les services sont accessibles et exploitables à tout moment, par exemple dans le cadre d’une identification de machine à machine.
Les certificats ne sont valides que pour une période limitée, afin d’obliger à leur examen régulier, ou à ce que l’on appelle leur recertification. Les autorisations associées à certaines identités peuvent ainsi être révoquées, au cas où leur certificat ne serait pas renouvelé ou serait compromis. L’interopérabilité et la standardisation des différentes infrastructures de gestion des identités et des autorités de certification constituent également des problématiques à considérer.

Le projet de recherche suédois CEBOT relève l’un des défis de sécurité majeurs de l’IoT

Outre ces défis techniques fondamentaux, il est essentiel de déterminer qui sera responsable de la mise en œuvre et de la maintenance des infrastructures dédiées et des autorités de certification, et à quelles exigences légales, réglementaires, organisationnelles et sécuritaires ces responsables seront tenus.

L’automatisation des processus favorise l’évolutivité

Les meilleures solutions de gestion de certificats, telles que Certificate Manager de Nexus, permettent d’automatiser des processus clés, et d’assurer la gestion des certificats tout au long de leur cycle de vie : génération, distribution, utilisation, renouvellement et révocation.

Gartner Report Forecast: IoT Security, Worldwide, 2018