Les risques associés à l’IoT ont beaucoup attiré l’attention dernièrement, et selon la plupart des experts, la solution consiste à attribuer des certificats PKI à toutes les entités. « Ils ont raison. Mais ce qui est souvent oublié, c’est que la sécurité de l’IoT concerne également les personnes, » explique Daniel Hjort, responsable des solutions Smart ID chez Nexus Group, société spécialisée dans les identités et la sécurité.
Ce que l’on appelle les nouveaux protocoles d’enregistrement de certificats permettent de concevoir des mécanismes de sécurité basés sur les technologies PKI (Public Key Infrastructure) et d’attribuer des identités de confiance, sous forme de certificats, à toutes les entités d’un système IoT.
La part oubliée de l’IoT : la sécurité des personnes
Daniel Hjort : « Sécuriser les communications entre les objets et le système centralisé permet d’éviter le piratage et les écoutes clandestines. Cette approche intéresse les acteurs de l’IoT, et un nombre croissant d’entre eux adoptent la PKI. Cela est très bien – mais n’est pas suffisant. »
Il faut en effet prendre en compte les personnes qui administrent et/ou exploitent les systèmes IoT : leurs communications avec le système centralisé ont également besoin d’être protégées.
Les mots de passe ne sont pas sûrs
Hjort : « Malheureusement, la plupart des systèmes IoT permettent aux utilisateurs comme aux administrateurs de s’identifier à l’aide de leurs seuls identifiants et mots de passe statiques – même si tout le monde sait que les mots de passe ne sont pas sûrs. La seule option raisonnable est l’authentification à deux facteurs (2FA), et cela me désole de constater à quel point cette approche est négligée. »
De fait, s’il a fallu attendre longtemps avant d’être en mesure de sécuriser avec des certificats électroniques des objets aux ressources limitées et en environnement contraint, l’authentification 2FA pour les personnes existe depuis de nombreuses années.
Des méthodes d’authentification 2FA conviviales
« Mais dans ce domaine aussi les choses ont bien évolué. Les mécanismes 2FA étaient connus pour être difficiles à implémenter et à maintenir, et pour manquer de convivialité. Mais cela a bien changé. »
Un exemple de solution conviviale est la solution Smart ID de Nexus, qui permet aux utilisateurs de s’identifier via, par exemple, une appli mobile et la reconnaissance faciale, ou encore une carte PKI et un code PIN.
« Avec les technologies disponibles aujourd’hui, il n’est plus excusable de faire courir des risques aux utilisateurs de l’IoT – ou aux usagers en général. »
Les risques associés à l’IoT sont bien réels
Ces risques sont très variés : vol d’informations sensibles, espionnage par prise de contrôle de caméras de surveillance, piratage des systèmes de contrôle de production ou de guidage de véhicules, etc.
« L’IoT est fantastique et ouvre de grandes perspectives dans notre vie de tous les jours – à condition qu’il soit convenablement sécurisé. Les risques associés aux systèmes IoT insuffisamment sécurisés sont bien réels, et j’espère vraiment que les acteurs de l’IoT sauront prendre leurs responsabilités, » conclut Daniel Hjort.