Les applications IoT (Internet of Things) se multiplient rapidement – mais leur sécurisation ne suit pas. « Dans la plupart des cas d’utilisation, la sécurité de l’IoT devrait s’appuyer sur PKI et le chiffrement asymétrique, et notre nouveau projet sur trois ans a pour objectif de rendre cela possible, » explique Shahid Raza, directeur du Labo Sécurité du SICS (Swedish Institute of Computer Science), un organisme suédois de recherche à but non lucratif.
La méthode de certification basée sur infrastructure à clés publiques (PKI pour Public Key Infrastructure) est utilisée pour sécuriser l’authentification, le chiffrement des données et les signatures électroniques.
« La PKI est ce qui se fait de mieux en matière de sécurité sur l’internet. Cette méthode vous permet, par exemple, d’effectuer des transactions bancaires en toute sécurité, et de communiquer sans que quelqu’un puisse intercepter les échanges » précise Raza.
La PKI est également utilisée pour sécuriser les communications entre objets non limités en ressources, tels que des serveurs ou les machines qui constituent l’infrastructure des réseaux mobiles LTE.
« Mais concernant les objets aux ressources limitées de l’IoT, dans la plupart des cas soit la sécurité est inexistante, soit elle s’appuie sur des clés partagées ou des codes PIN/mots de passe. Cela signifie que le risque de piratage et/ou d’écoute est considérable. Et comme nous devenons de plus en plus dépendants de l’IoT, ce risque n’est pas acceptable » explique Raza.
Et même lorsque la PKI est utilisée dans l’IoT, elle est implémentée uniquement dans les passerelles, et non dans les objets eux-mêmes. La raison en est qu’actuellement les technologies PKI sont trop lourdes pour les objets aux ressources limitées.
« Le problème d’implémenter la PKI uniquement dans les passerelles est que si une passerelle est compromise, le réseau entier est compromis. Nous avons besoin d’une sécurité end-to-end. De nombreuses sociétés d’IoT l’ont compris, et la sécurité constitue l’une de leurs premières priorités. Mais il n’y a pas d’autres alternatives pour le moment que les clés partagées ou l’utilisation de mots de passe/codes PIN, ou d’utiliser la PKI uniquement dans les passerelles » ajoute Raza.
Une première étape dans la résolution de ce problème a été franchie récemment, par l’institut SICS et ses partenaires, dans le cadre d’un projet financé par VINNOVA, avec la création d’un nouveau protocole d’enrôlement de certificat ultra léger appelé CEBOT.
Selon Raza, « Avec CEBOT, il est possible d’attribuer aux objets de l’IoT des identités de confiance – sous la forme de certificats signés –, afin de leur permettre de communiquer de façon sécurisée. CEBOT était la pièce manquante dans la sécurité de l’IoT, et le fait de disposer de ce nouveau protocole est pour nous fantastique. Mais ce n’est pas suffisant. »
Le SICS a donc lancé un nouveau projet sur trois ans, financé par Eurostars, et en partenariat avec des sociétés suédoises et sud-coréennes, dédié à la sécurisation des objets de l’IoT limités en ressources.
« Les objets IoT très limités en ressources ont besoin de technologies PKI très légères, telles que CEBOT. Dans le cadre de ce projet, nous allons développer les autres technologies nécessaires pour sécuriser l’IoT » ajoute Raza.
Le nouveau projet, baptisé « SecureIoT » poursuit quatre objectifs :
- Permettre l’enregistrement automatique initial de certificats, avec des certificats légers et un mécanisme léger de révocation de certificat, dans des objets IoT sur batteries.
- Intégrer les protocoles IoT aux protocoles de communications sécurisées tels que DTLS (Datagram TLS) et IKE (Internet Key Exchange).
- Développer une passerelle IoT sécurisée capable de prendre en charge les protocoles de sécurité IoT ainsi que les protocoles classiques pour les déploiements existants, tels que les réseaux de capteurs industriels.
- Réaliser les validations des protocoles développés dans le cadre de deux déploiements IoT pilotes : un compteur intelligent et une usine intelligente.
Le projet, initié en octobre 2016, s’achèvera en octobre 2019.
« Jusqu’ici nous sommes dans les délais par rapport à nos prévisions, et dès à présent nos partenaires travaillent à l’élaboration des différentes choses que nous visons à produire. Si tout se passe comme prévu, les documents de conception seront prêts en septembre 2017.
Un de nos partenaires est la société suédoise d’identités et de sécurité Nexus Group, qui a contribué au projet CEBOT.
« SecureIoT et CEBOT sont deux projets de première nécessité, car le besoin d’une sécurité renforcée de l’IoT est très important, et devrait s’accroître de façon exponentielle, » explique Martin Furuhed, responsable produit du logiciel d’autorité de certification (CA) Certificate Manager.
« Nous avons intégré à Certificate Manager la prise en charge des nouvelles technologies PKI légères qui sont développées dans le cadre de ces projets de recherche, et qui bien sûr nous apportent, ainsi qu’à nos clients, de grands avantages. L’innovation est dans notre ADN, et pour nous il est naturel et important de collaborer à des projets de recherche. Prendre part à ces projets nous aide à rester à la pointe de l’innovation, » ajoute Furuhed.
Raza est confiant dans la réussite du projet.
« Nous résoudrons les problèmes, même si nous ne savons pas encore exactement comment. Nous devrons peut-être faire des compromis, et nous ferons sans doute des erreurs – mais les erreurs sont instructives et sont une part nécessaire du processus, » explique-t-il.
Le projet en bref :
Partenaires en Suède et en Corée du Sud.
L’institut de recherche suédois SICS coopère avec des partenaires suédois et sud-coréens sur le nouveau projet baptisé : « SecureIoT : Certificate-based Security for Resource-constrained Internet of Things. »
Les partenaires sont :
- La société d’identités et de sécurité Nexus Group.
- L’université sud-coréenne KAIST.
- L’université sud-coréenne Ajou University.
- La société sud-coréenne de services IoT LilyS&C.
- La société sud-coréenne de services IoT APROS Co.