[Post-IT] IoT : La sécurité, un enjeu majeur

L’IoT (Internet of Things), tout le monde en parle. Que ce soit pour dire que cela va révolutionner la société, ou que les objets connectés constituent un enjeu de sécurité majeur.

L’IoT est certainement en pleine explosion. De la même façon qu’on entend parler du Machine Learning partout, avec l’IoT c’est pareil. D’ailleurs les deux sont liés : l’IoT génère un tel volume de données qu’il devient peu réaliste de vouloir les exploiter sans Machine Learning.

Certaines estimations placent à 50 milliards le nombre d’objets connectés en 2020.

Les raisons de cette explosion sont multiples. Déjà, la technologie le permet : la démocratisation des smartphones l’a améliorée selon plusieurs axes qui sont importants pour l’IoT, tels que la miniaturisation des composants ou la réduction de la consommation d’énergie.

Les uses cases sont également de plus en plus nombreux: « Smart Cities » (des villes bardées de capteurs, trafic, pollution, caméras,…), « Quantified self » (le fait de porter sur soi des capteurs collectant les données de santé tels que rythme cardiaque, pression sanguine, activité physique etc), « voiture connectée » (capteurs remontant des informations en temps réel, position, acceleration, déclenchement des freins, taux d’émission de CO2 et autres ) ou « maison connectée » (thermostats intelligents et autres éléments de domotique) ne sont que quelques cas d’utilisation populaires.

Il est donc clair que ces objets connectés font déjà parti de notre quotidien, et cela va s’accentuer dans les années à venir.

 

Et la sécurité dans tout ça ?

Avant même que l’IoT n’ait été un buzzword, certains objets étaient déjà connectés. Citons par exemples les routeurs « box » ADSL, ou certaines caméra IP (vidéo surveillance). Bien souvent, le socle technique software de ces objets connectés est un système Linux embarqué. On dispose, avec un effort de développement réduit, d’une grosse partie de l’offre logicielle existante sur Linux. Il devient alors facile, par exemple, de développer une interface web d’administration de l’objet connecté.

Et on néglige parfois d’appliquer à ces objets connectés les bonnes pratiques que l’on appliquerait plus naturellement à un serveur Linux.

Quelle en est la raison ? L’IoT est un domaine extrêmement compétitif. Les fournisseurs cherchent donc à tout prix à sortir un produit fonctionnel, se différenciant de la concurrence, à un coût réduit et le plus vite possible. Dans ce genre de situations, la sécurité est rarement la préoccupation première car elle n’apporte pas de valeur à l’utilisateur final.

Jusqu’au jour où une faille de sécurité est découverte et exploitée par un malware comme le botnet « Mirai« . Celui-ci scanne simplement l’internet à la recherche d’objets connectés dont le mot de passe par défaut, fixé en usine, n’a jamais été modifié. Les équipements identifiés sont infectés et rejoignent le botnet, prêts à être utilisés dans des opérations de DDoS comme celles qui ont récemment frappé OVH (avec un débit record proche du TeraByte/s) et Dyn.

image-article

On comprend donc, vu les milliards d’objets connectés dont on nous promet l’arrivée, qu’on ne peut plus se permettre de négliger la sécurité de l’IoT.

Et même sans parler de botnet, on peut imaginer les effets désastreux d’une mauvaise sécurisation si l’objet connecté est sa voiture, ou son pacemaker.

 

Quels moyens de sécurisation ?

S’il est clair qu’il est nécessaire de sécuriser l’IoT, les moyens de le faire peuvent être moins évidents. Pourtant, appliquer les bonnes pratiques de sécurité qui existent depuis des décennies fournit déjà une partie de la réponse :

  • Ne pas utiliser de mot de passe par défaut qui permettent d’obtenir trivialement un accès à l’objet connecté
  • Désactiver les services qui ne sont pas nécessaires au bon fonctionnement de l’appareil, on peut par exemple penser aux services TELNET ou SSH qui est activé par défaut sur certaines caméras IP
  • Fournir un service de mise à jour du logiciel (software / firmware), de préférence automatique et obligatoire, afin de pouvoir patcher les inévitables failles de sécurités lorsqu’elles sont découvertes
  • Utiliser du code signé, afin que seul du logiciel validé par l’éditeur puisse être installé sur l’appareil
  • Chiffrer les communications (TLS par exemple) afin qu’un flux qui serait intercepté par un attaquant ne révèle pas d’information permettant de compromettre l’appareil (ex : mots de passe)
  • Effectuer des scans de vulnérabilité au niveau système et applicatif pour éviter autant que possible qu’un bug ne permette d’accéder à des fonctionnalités privilégiées
  • etc !

Rien de bien nouveau ici, toutefois on comprend que cela complexifie la tâche aux fabricants d’objets connectés qui sont mis face à leurs responsabilités quant à la sécurité des équipements qu’ils vendent.

 

Le Cloud à la rescousse !

Nous avons donc d’un côté un marché de l’IoT en pleine explosion, et de l’autre des besoins d’infrastructure de plus en plus importants à adresser (pour la sécurité bien sûr, mais pas uniquement). Les gains financiers potentiels sont colossaux. Il n’est donc pas surprenant que les géants du Cloud se soient positionnés avec des offres permettant de répondre aux problématiques de l’IoT.

On peut citer :

 

Tous offrent une palette complète de services pour monter des plateformes pour l’IoT. Concernant la sécurité spécifiquement, on retrouve des services permettant :

  • d’authentifier les objets connectés
  • d’offrir des canaux de communication chiffrés
  • de bénéficier d’une gestion de droits
  • d’avoir une solution de bigdata / analytics pour identifier des anomalies / attaques

Le tout étant hébergé sur des infrastructures élastiques qui permettront d’encaisser la charge produite par ces milliards d’objets connectés.

art

Les objets connectés font déjà partie de nos vies, et cela va aller crescendo dans les années à venir. Ils vont révolutionner l’industrie, la société, nos modes de vie. La sécurité est donc réellement un enjeu majeur, si on ne veut pas voir ce rêve se transformer en cauchemar. Les projets IoT démarrant aujourd’hui se trouvent certainement dans une situation bien plus saine que ceux qui se lançaient il y a quelques années : Les plateformes techniques, Cloud notamment, sont de plus en plus matures et offrent les briques de bases pour adresser la plupart des besoins, dont la sécurité. Celle-ci doit être prise en considération dès les phases de design d’un projet et continuellement suivie une fois le projet lancé. Il est critique d’appliquer d’une part les bonnes pratiques de l’industrie, et d’identifier et d’utiliser les technologies adéquates d’autre part. Si vous avez un projet IoT et que vous souhaitez être accompagné dans sa réalisation, LINKBYNET, forte de 16 ans dans le domaine de l’infogérance et disposant d’une expertise reconnue dans le domaine du Cloud, se fera un plaisir de vous répondre ! N’hésitez pas à nous contacter.

 

Références :

 

Laisser un commentaire