IoT : Un défi sécuritaire derrière une réelle opportunité

31 Janvier 2019
Internet of Things
L'Internet des objets (IoT) introduit la vision d'un futur Internet dans lequel les utilisateurs, les systèmes informatiques et les objets du quotidien possédant des capacités de détection et d'activation coopèrent avec une commodité et des avantages économiques sans précédent.
L’IoT offre un potentiel énorme et se retrouve dans de nombreuses activités quotidiennes. Il mène à des villes plus intelligentes, à des industries beaucoup plus efficaces, à des transports plus sûrs et à une meilleure qualité de vie en général. La surveillance à distance et le contrôle intelligent des maisons, voitures, magasins, usines peuvent améliorer considérablement l'efficacité et la commodité. Cela n’est cependant pas sans risque. Ces outils peuvent être détournés pour perturber des infrastructures critiques pouvant conduire à des résultats dangereux et coûteux ou au niveau personnel exposer potentiellement nos maisons et nos informations à des actes malveillants ou criminels. L’IoT, par conséquence, a toujours besoin d’être sécurisé afin d’éviter toutes utilisations malintentionnée.

Dans la suite de cet article, nous expliquerons en détails le défi de la sécurité de l’IoT et comment l’Innovation Centre d’AUSY met en œuvre toute son expertise afin de proposer des solutions à chaque cas étudié. 

L’IoT est dans toutes les bouches, mais que se cache-t-il vraiment derrière ce terme ?

L’IoT se réfère à un réseau d'objets physiques qui ont tous accès à Internet. L'expression IoT est largement utilisée et sa signification reste un peu vague, principalement en raison du grand nombre de concepts qu'elle englobe. Il y a, par conséquent, différentes définitions. A l’Innovation centre AUSY, nous utilisons la définition de l’union internationale des télécommunications qui considère l’IoT comme une « infrastructure mondiale pour la société de l'information, qui permet de disposer de services évolués en interconnectant des objets (physiques ou virtuels) grâce aux technologies de l'information et de la communication interopérables existantes ou en évolution ». Ces objets peuvent être petits et portables comme les bracelets intelligents « fit-bits », les montres connectées, les smartphones ou bien beaucoup plus imposants comme le gros électroménager (réfrigérateurs intelligents) ou les moyens de transport futuristes (voitures autonomes connectées…). Ces objets doivent pouvoir se connecter à un réseau WiFi, 2G/3G/4G LTE ou autre et doivent posséder un ou des capteurs afin de collecter des données brutes de leur environnement qui seront ensuite stockées sur un serveur en ligne, traitées puis diffusées sous forme d’informations exploitables par l’utilisateur final. Par exemple, les stations de ski peuvent prévoir les potentielles avalanches grâce à la remontée d’informations d’un réseau de capteurs connectés répartis sur les sommets enneigés de montagnes. 
 

Pourquoi devons-nous nous intéresser à l’IoT ?

Grâce aux technologies de l’information et de la communication qui facilitent la connexion d’une multitude de petits dispositifs à Internet, d’innombrables applications et opportunités apparaissent. L’IoT annonce l’émergence de villes plus intelligentes, d’industries plus efficientes mais aussi d’une meilleure qualité de vie en s’invitant dans nos maisons et nos moyens de transport. 

Focus sur ces 3 grands domaines d’applications que sont les maisons, les villes et les industries intelligentes.

smart homes

Les objets intelligents résidentiels représentent aujourd'hui environ 25% des appareils IoT. Selon les prévisionnistes, leurs ventes devraient atteindre 490 milliards de dollars en 2019, avec en tête les applications de domotique et de sécurité. L’impact est difficile à mesurer à ce stade précoce, bien qu’un récent rapport souligne leur utilité toute particulière pour les personnes âgées et les personnes en situation de handicap. 

smart cities

De plus en plus de villes se servent des objets connectés et technologies de l’information pour améliorer la qualité des services urbains, réduire les coûts et augmenter la sécurité.

Dans cette optique, la Chine a récemment déployé un système de reconnaissance faciale dont le but affiché est de lutter contre le terrorisme. Bien sûr, un cadre juridique correctement défini est nécessaire.

L’IoT permet aussi de gérer la consommation d’énergie d’une ville entière. Ainsi, Los Angeles, en remplaçant tout son éclairage public par des lampes à LED a réduit sa consommation d’énergie de 60%. La connectivité sans fil de ce nouveau système vers un centre de contrôle réseau devrait permettre de réaliser des économies de maintenance supplémentaires tout en créant un système dynamique améliorant la sécurité.

smart factories

A l’ère de l’Industrie 4.0, les usines s’équipent de machines connectées afin de permettre une personnalisation dynamique des produits, en fonction du consommateur, sans obligation d'investir massivement dans la modification des chaînes de production. Intel a mis en place un système pilote pour analyser les informations provenant des machines, des capteurs et du personnel d'usine pour aider l'entreprise à améliorer le contrôle en temps réel des processus de fabrication. Elle estime ainsi réaliser une économie annuelle de 30 millions de dollars sur la production des puces. Des systèmes d'analyse IoT et Big Data similaires peuvent être implémentés dans de nombreux autres processus de fabrication complexes.

Grâce à ce large spectre d’applications et leurs perspectives, le marché de l’IoT, en plein essor, devrait tripler de taille en 2020 comparativement à 2014 et viendra ainsi dominer la nature de presque tous les systèmes embarqués d’ici 2020. Par conséquent, il apparait très intéressant d’investir dans l’IoT.

Mais leur utilisation n’est pas sans risque…

… A quoi ressemblerait un mauvais scenario ?

Au regard des avantages que procure l’IoT, un défi majeur de sécurité apparaît.

Voici une journée qui vire au cauchemar pour Nathalie :

Ce matin elle était en retard à son rendez-vous car elle a eu du mal à se garer. En effet les panneaux de signalisations des parkings à proximité n’indiquaient aucune place disponible. Elle a donc dû se garer beaucoup plus loin que prévu alors qu’en marchant elle s’est rendu compte qu’il y avait de nombreuses places disponibles. En sortant de son rendez-vous, elle a voulu aller faire des courses. Ayant oublié sa liste, elle essaya de se connecter à son réfrigérateur intelligent en vain. Elle partit donc travailler. Elle dirige une petite usine de conditionnement de jus de fruits frais qui sont confectionnés et emballés sur place. La ligne de production automatisée et connectée a commencé à se comporter de manière aléatoire en début d’après-midi : les bouteilles débordaient ou étaient à moitié remplies. De grandes quantités de jus furent gaspillées et un grand nombre de bouteilles ne purent être vendues. Natalie décida de fermer complètement la ligne de production jusqu'à ce que le problème soit réglé. Son expert informatique découvrit qu’un logiciel malveillant avait été implanté dans le système et avait permis à un intrus de modifier les commandes de contrôle de la ligne de production. Dans sa voiture, sur le chemin du retour, elle apprit à la radio l’existence d’une cyber-attaque sur les systèmes de signalisation des parkings de la ville. Une fois chez elle, elle sut pourquoi elle ne put communiquer avec son frigo intelligent. Une porte dérobée (backdoor) non signalée sur le système de maison intelligente avait été piratée et l’attaquant avait éteint le réfrigérateur.

Ce scénario repose sur les 3 grands domaines de l’IoT cités précédemment. Est-il réaliste ?

Les scénarios dystopiques sont en partie réalistes, et ce, pour deux raisons principales:

  • Ces objets connectés sont comme des petits ordinateurs. Ils peuvent donc souffrir de Trojan (cheval de Troie), de virus, de spywares ou de malwares.
  • Ils sont reliés 24h/24 à Internet.

Différents accidents de sécurité se sont réellement produit par le passé.

En novembre 2013, Symantec a confirmé la découverte du premier programme malveillant IoT, appelé Linux.Darlloz (ver informatique). Le ver cible les ordinateurs avec des architectures Intel x86. Il se concentre également sur les périphériques utilisant les architectures ARM, MIPS et PowerPC, qui se trouvent généralement sur les routeurs et les décodeurs.

En 2014, une équipe d'étudiants de l'université du Michigan, dans un objectif d’identification de failles (position de testeurs, aussi appelé « white hats »), a pris le contrôle de véritables feux de circulation en réseau. Ils ont constaté qu'ils pouvaient modifier l'état des voyants (rouge, vert, jaune) à distance. Il a également été observé que les paramètres d'usine par défaut n'avaient pas été modifiés et que les commandes réseau n'étaient pas cryptées. 

En décembre 2014, l'Office Fédéral Allemand de la Sécurité de l'Information a signalé une cyber-attaque contre une scierie. En commençant par pénétrer dans le réseau informatique du bureau, les attaquants non identifiés ont été en mesure de causer d’énormes dommages en compromettant le réseau de contrôle industriel et en empêchant la fermeture d’un haut fourneau. Bien que de nombreux détails de cette attaque réussie restent inconnus à ce jour, il est probable que les entreprises dotées de systèmes d'automatisation similaires examinent de près les consignes de sécurité et les pratiques actuelles. 

Menaces de sécurité, de quelle nature sont-elles ?

Afin de mieux identifier et comprendre les risques, commençons par étudier et classifier les origines et objectifs des attaques possibles sur les systèmes d’IoT.

 

menaces de sécurité

Nous classons les menaces pour la sécurité en fonction de leurs causes principales et de leurs objectifs. Cela conduit à adopter de meilleures stratégies de mise en place de contre-mesures plus efficaces contre tout type d’attaques.

Les menaces peuvent être :

  1. d’origine naturelle (évènements climatiques) et indépendantes de la volonté de l'Homme. Ainsi, la probabilité de leur apparition dépend de la localisation géographique du système de sécurité et du climat. Les causes naturelles peuvent être prédites au mieux. Leurs contre-mesures n'appartiennent généralement pas à l'informatique. Par conséquent, nous les sortirons du cadre de cet article ;
  2. d’origine humaine, sans intention de nuire, et par méconnaissance des systèmes et procédures. Dans ce cas, des campagnes de sensibilisation ou des formations permettront de réduire de manière significative les risques d’erreurs et d’exposition des objets à des risques d’intrusion ;
  3. d’origine humaine volontaire, avec une intention malveillante dirigée vers un serveur spécifique (attaque dirigée) ou imprécise (attaque aléatoire).

Focus sur les attaques dirigées et leurs contre-mesures

Les attaques malveillantes sont les plus communes. Elles peuvent être répertoriées en fonction de la couche impactée. Voici une liste non exhaustive d’exemples:

attaques de securite

Quelles sont les caractéristiques d'une solution de sécurité efficace ?

Une solution de sécurité efficace comprend une série de mesures mises en place tout au long du cycle de vie du système. Elle englobe un vaste ensemble de stratégies de gestion des processus, outils et politiques visant à prévenir, détecter et répondre aux menaces pesant sur les actifs informatiques.

Elle s’appuie sur 6 fondamentaux :

fondamentaux de securite efficace
  • La confidentialité : seuls les utilisateurs autorisés ont accès aux informations sauvegardées ou en transit dans un système.
  • L’intégrité : pendant les transmissions de données, aucun intrus n'est en mesure de modifier le contenu d'origine des données. C’est un point fondamental dans le cas de données critiques telles que les transferts de fonds électroniques, le contrôle du trafic aérien …
  • La disponibilité : les utilisateurs accèdent aux données visibles sans contrainte inexpliquée. C’est l’attribut le plus important dans les entreprises axées sur les services qui dépendent d’informations (par exemple, les horaires des compagnies aériennes et les systèmes d’inventaire en ligne).
  • L’authentification : un système sécurisé doit confirmer l'identité d'un émetteur / utilisateur avant tout accès ou traitement de données.
  • La non-répudiation : la non-répudiation de l’origine prouve que l’émetteur est bien la source de l’envoi effectué. La non-répudiation de l’arrivée confirme que l’utilisateur a effectivement reçu le message.
  • L’auditabilité : un système sécurisé est capable de suivre toutes les activités effectuées par ses utilisateurs autorisés grâce à l’historique des transactions.

Les apports de l’Innovation Centre AUSY dans la sécurité IoT

L’Innovation Centre d’AUSY vise à mener des recherches et développer des idées afin qu'un nouveau produit ou service puisse éventuellement être prêt à sa mise en commercialisation sur le marché.

En ce qui concerne la cyber-sécurité, nous menons une recherche exhaustive dans les travaux académiques et industriels sur les vulnérabilités de la communication de données dans l'IoT. Chaque étude est faite spécifiquement pour une certaine technologie afin de concevoir des mesures d'atténuation appropriées. De plus, AUSY met en place un banc de test afin de simuler les cyber-attaques pour chaque solution de sécurité récemment conçue. L'un des projets de l'Innovation Centre consiste actuellement à concevoir une solution de sécurité pour Bluetooth Low Energy BLE, l'une des technologies les plus utilisées dans l'IoT. Le but de ce projet est de fournir un logiciel complémentaire de sécurité (add-on). Cet add-on devrait être suffisamment portable pour s'adapter à différents systèmes d'exploitation en fonction du périphérique utilisé sans ajouter beaucoup de surcoût de performance.
 

ashraf elantably

L’auteur :

Ashraf ELANTABLY, ingénieur Systèmes Embarqués, a obtenu un doctorat en nanoélectronique et nanotechnologies. Il a mené différents projets de recherche au cours de son doctorat et post-doctorat. Tous concernent des architectures à microprocesseurs pour les systèmes embarqués et les systèmes HPC (High Performance Computer) de calcul de haute puissance. Ashraf possède également une expérience industrielle dans les systèmes embarqués et travaille actuellement à l’Innovation Centre AUSY Toulouse, où il participe à des projets de recherche sur l’IoT et la cyber-sécurité.



Aussi n’hésitez pas à visiter notre page web dédiée à Smart Innovation.

Parlons ensemble de vos projets. 

bouton contact