On prête à Vincent Van Gogh la phrase suivante : « Les grandes choses sont faites d’une série de petites choses mises ensemble ». Cette formule pourrait parfaitement s’appliquer à l’internet des objets (IoT, pour Internet of Things) : de petits objets sont interconnectés pour façonner un grand tournant dans la façon dont nous vivons et travaillons. Dans ce blog, ainsi que dans l’entretien avec notre collègue Daniel Hjort de Nexus Group sur le blog de Thales, nous évoquons les défis que l’industrie doit relever pour garantir la sécurité du déploiement et de la gestion des objets de l’IoT.
Réaliser tout le potentiel de l’IoT ne nécessite pas seulement de mettre de petits objets ensemble, ni même d’orchestrer soigneusement leurs interconnexions ; il s’agit également de s’assurer de l’intégrité de ces objets et de celle des données qu’ils reçoivent. Ce sentiment est partagé par les principaux acteurs du secteur. Comme Maciej Kranz, responsable de l’innovation stratégique chez Cisco, l’a écrit pour IoTechExpo.com : « [En 2018] la sécurité de l’IoT deviendra la priorité n°1 en entreprise ». Pour que l’IoT délivre toutes ses promesses, les organisations qui déploient cette technologie doivent être confiants dans leurs périphériques connectés, dans l’intégrité des données que ceux-ci collectent, et s’assurer qu’une fois collectées, les données elles-mêmes seront protégées et leur confidentialité préservée.
N’hésitez pas à vous inscrire au séminaire en ligne organisé conjointement par Thales et Nexus « Enabling Trusted Identities for the Internet of Things ».
Tandis qu’augmente le nombre d’objets connectés au sein des écosystèmes de l’IoT, les organisations ont plus que jamais besoin d’authentifier ces objets. Typiquement, les objets de l’IoT reçoivent en usine leur identité initiale, sous la forme d’un certificat électronique d’authenticité. Le fabricant constitue ainsi le premier maillon critique dans la chaîne de confiance qui doit s’établir au sein de l’IoT. Sécuriser les processus de fabrication des objets de l’IoT comprend trois étapes :
- Contrôle des lots de production afin de s’assurer de la légitimité des produits et prévenir les contrefaçons
- Attribution d’un certificat électronique à chaque produit afin de permettre son identification et son authentification
- Signature électronique du code (y compris le firmware) afin de garantir son intégrité et se prémunir contre les malware
Contrôle des lots de production
La première étape, qui consiste à contrôler les produits au moment de leur fabrication, est impérative pour s’assurer de la légitimité de chaque objet à être introduit sur le marché, et ensuite déployé par les clients au sein de leur écosystème. La production clandestine d’objets qui prétendent être ce qu’ils ne sont pas, et susceptibles d’être animés d’intentions malveillantes, peut être empêchée au moyen de compteurs numériques qui limiteront les lots de production. En plus de préserver les déploiements ultérieurs, ces mécanismes de contrôle protègent la propriété intellectuelle et les revenus des éditeurs comme des fabricants. Mais comment s’assurer de l’authenticité de chaque objet produit ? Cela nous conduit vers la seconde étape.
Attribution de certificats électroniques
L’attribution d’un certificat électronique d’authentification permet de s’appuyer sur ce que Daniel Hjort (lire l’entretien ), de Nexus, appelle une « identité de transport ». Cela signifie que chaque objet peut être individuellement identifié, avant d’être « enrôlé » lors de son déploiement au sein d’un écosystème IoT. De façon analogue, un certificat de naissance est attribué à chacun d’entre nous par une autorité de confiance, et par la suite ce certificat permettra notre inscription, par exemple, à l’école. Ainsi, le fait que notre certificat ait été produit par une autorité de confiance permet à l’écosystème éducatif de s’assurer de l’identité de chacun d’entre nous. Cette certification permet donc à l’écosystème éducatif de savoir s’il peut nous intégrer. Mais qu’advient-il des objets, tout au long de leur cycle de vie, une fois intégrés à un écosystème IoT ? Cette question nous amène à la troisième étape.
Signature électronique du code
La signature électronique de tous les logiciels et firmware permet de garantir leur intégrité et de se prémunir contre les malware ; elle permet en outre une gestion saine des objets de l’IoT tout au long de leur cycle de vie. Nous savons tous combien les mises à jour logicielles peuvent être fréquentes. Généralement, celles-ci interviennent au milieu de la nuit, afin de limiter les risques d’interruption de service. Ces mises à jour, qui le plus souvent concernent des correctifs de sécurité pour des vulnérabilités venant d’être découvertes, visent à assurer un fonctionnement optimal des applications. Malheureusement, elles représentent également des opportunités pour les pirates qui peuvent alors tenter d’introduire des virus ou autres malware dans un écosystème habituellement fermé.
La signature du code permet aux objets de l’IoT de contrôler automatiquement la validité d’une mise à jour, et de s’assurer qu’elle provient bien d’une source de confiance, préservant ainsi l’intégrité du système.
Sécuriser l’IoT de A à Z
Thales eSecurity, en collaboration avec notre partenaire technologique Nexus Group, participe à la sécurisation extensive de l’IoT, en commençant par la production des objets de l’IoT. En tant que fournisseur de premier plan de solutions de gestion des identités et des accès, Nexus fournit un logiciel d’autorité de certification (AC) à la fois flexible et évolutif, qui permet aux clients de générer et d’administrer des identités électroniques pour les objets et les services, identités exploitables dans tout type de cas d’utilisation de l’IoT. Associés aux modules de sécurité matérielle (HSM), qui protègent et contrôlent les clés de chiffrement requises, les solutions et services Nexus sécurisent les écosystèmes de l’IoT. Pour en savoir plus, rendez-vous sur les sites de Thales et de Nexus.
Van Gogh, qui savait que de nombreux petits coups de pinceaux pouvaient produire une merveilleuse Nuit Étoilée, n’aurait sans doute pas imaginé ce que nous pouvons aujourd’hui obtenir des objets de l’IoT. Pour aller plus loin sur ce sujet, nous vous recommandons la lecture de l’entretien avec Daniel Hjort. Il est, ce mois-ci, le blogueur invité de Thales.
N’hésitez pas à vous inscrire au séminaire en ligne organisé conjointement par Thales et Nexus « Enabling Trusted Identities for the Internet of Things ».
Vous pouvez me contact sur Twitter à l’adresse @asenjoJuan.