La sécurité de l’IoT (Internet of Things) est devenue, littéralement, une question de vie ou de mort. « Nous avons assisté à une avalanche de vulnérabilités potentiellement mortelles dans des objets connectés, et je ne veux même pas imaginer ce qui se passerait si la tendance se confirmait. Mais il existe une méthode de sécurité éprouvée qui, une fois adaptée, peut également contrer efficacement les menaces qui pèsent sur l’IoT, » affirme Tejas Lagad, responsable pour l’Inde chez Nexus Group.
En 2015, Chrysler a dû rappeler 1,4 millions de véhicules, après que deux hackers eurent démontré qu’ils pouvaient pirater à distance, via l’internet, les systèmes électroniques d’une Jeep.
Prise de contrôle du système de freinage
« Ils ont pu pirater un véhicule à distance et prendre le contrôle des fonctions du tableau de bord, de la direction, de la transmission et du système de freinage. Pour Chrysler, le correctif a été embarrassant et coûteux. Pour les propriétaires de Jeep, la faiblesse de l’authentification dans la connexion à distance était une question de vie ou de mort, » poursuit Lagad.
Un an plus tard, Johnson & Johnson alerte les praticiens, ainsi que 114 000 patients, au sujet d’une vulnérabilité dans l’une de ses pompes à insuline, qui pourrait être exploitée pour injecter des surdoses d’insuline à des patients diabétiques.
Nécessité d’une authentification forte
Lagad : « Ce ne sont que deux exemples, parmi beaucoup d’autres, de la faiblesse de la sécurité de l’IoT, qui montrent bien l’importance primordiale d’une authentification parfaitement sécurisée. L’authentification forte est le meilleur moyen de garantir la sécurisation des communications entre objets connectés, en évitant écoutes et piratages. »
L’idée que quelqu’un puisse vous administrer à distance une surdose d’insuline ou saboter les freins de votre voiture est assez terrifiante, et certains avancent qu’au final l’internet des objets risque de faire plus de mal que de bien.
Revenir aux fondamentaux de la sécurité
Lagad : « Il ne s’agit pas de revenir au Moyen-âge pour remédier aux problèmes des objets connectés d’aujourd’hui. Mais il est temps de revenir aux fondamentaux de la sécurité. À des méthodes qui ont fait leurs preuves ; et notamment à celle qui a sécurisé l’internet ces vingt dernières années, et a permis le protocole sécurisé HTTPS. En un mot il est temps d’utiliser PKI (Public Key Infrastructure) pour sécuriser également l’IoT. »
Le mécanisme de sécurité de PKI permet de certifier les identités électroniques pour les personnes et les objets, et de sécuriser ainsi l’authentification, le chiffrement des données, ou encore les signatures électroniques.
PKI n’a jamais été piraté
Lagad : « Il existe d’autres méthodes pour tenter de sécuriser les objets connectés – mais pourquoi réinventer la roue ? PKI n’a jamais été piraté. Et si cette méthode était complexe et coûteuse, ce n’est plus le cas aujourd’hui. »
Tous les fabricants d’objets connectés prêtent une grande attention à l’interopérabilité et à la connectivité, car ils savent que ces facteurs sont cruciaux pour leurs ventes. Un changement de mentalité doit s’opérer, pour que la sécurité soit perçue comme tout aussi importante.
Sécuriser l’IoT dès la conception
Selon Lagad, « les fabricants doivent commencer à sécuriser leurs objets connectés dès la conception, en intégrant la prise en charge de certificats numériques qui garantiront l’authenticité des identités électroniques dans un environnement PKI ».
Auparavant, il était compliqué d’attribuer des certificats numériques à des objets, mais les choses ont changé. De nouveaux protocoles d’enregistrement de certificats, notamment EST (Enrollment over Secure Transport), rendent ce processus bien plus aisé.
« Et la future norme EST-CoAP améliorera encore le processus de provisioning. Il n’y a donc plus de raisons valables de risquer des vies en se privant de PKI, » conclut Lagad.