Recherche | Blog | Approfondir

Comment un suivi en temps réel de la sécurité des équipements personnels connectés pourrait-il fonctionner ?

GettyImages - IoT safety Operating smart devices in her home through the use of smart phone Mature Adult Hispanic Female in Western Colorado (Shot with Canon 5DS 50.6mp photos professionally retouched - Lightroom / Photoshop - original size 5792 x 8688 downsampled as needed for clarity and select focus used for dramatic effect)
- Mis à jour le lundi 9 octobre 2023
Temps de lecture : 6 min
Ecouter le contenu de la page avec notre synthèse vocale
Enfin ! Depuis 2022, la sécurité des équipements connectés est adressée par les instances européenne et française – avec pour objectif, entre autres, d’améliorer grandement la sécurité des équipements, présents désormais partout du smartphone à la TV connectée en passant par le thermostat connecté. Évidemment, la sécurité numérique est évolutive : c’est une poursuite permanente entre évolution des technologies et sophistication des attaques. Un score de sécurité n’est vrai qu’a l’instant où il est émis ; dès le lendemain, une faille peut être découverte. Pour suivre la sécurité d’un objet tout au long de son cycle de vie, le projet de recherche Home Security, élabore les spécifications d’un système de score de sécurité évolutif. Il a été présenté au Salon de la recherche et de l’Innovation 2022.

La sécurité des objets connectés

La sécurité informatique est un sujet récurrent, au cœur de nombreux articles d’expert [1], et fait également régulièrement la une des actualités. Cependant, encore aujourd’hui, cet élément essentiel ne fait l’objet que de peu d’obligation et trop peu de suivi. C’est d’autant plus le cas sur les nombreux équipements qui arrivent dans les maisons. comme les caméras, les aspirateurs ou encore les distributeurs de croquettes connectés [2] Cependant, la sécurité s’améliore, des règlements se mettent en place et de nouveaux systèmes de suivi de la sécurité tout au long de la vie de l’objet sont proposés.

Surveillons les équipements connectés tout au long de leurs vies !

Les objets connectés omniprésents doivent être sécurisés

L’enquête du CREDOC montre l’augmentation de la présence des objets connectés dans la maison. Aujourd’hui, une personne sur trois dispose d’un objet connecté, 84% de la population française dispose d’un smartphone et on retrouve en moyenne 8 équipements connectés dans la maison. Un appareil qui se connecte, c’est un appareil qui s’expose, d’où l’importance de la sécurité numérique. Si, chez les particuliers, la statistique des attaques est compliquée à obtenir, plus de 50% des entreprises françaises ont été touchées par une cyberattaque en 2021 [3] et majoritairement via les salariés. Il y a déjà une prise en compte de la sécurité chez les grands fournisseurs, mais la maintenance limitée (3 ans sur un téléphone) ou l’absence d’audit avant la vente créent des risques pouvant amener à un détournement d’usage d’un équipement ou une fuite de données personnelles.

La législation sur la sécurité est en train d’être mise en place

Au niveau européen, le Cyber Resilience Act imposera une prise en compte minimale de la sécurité sur tout objet en vente. On y trouve notamment la nomination d’un correspondant en cas de problème, un système de mise à jour obligatoire, la vérification d’absence de vulnérabilité critique à la sortie, ainsi que 5 ans de maintenance. Si on peut espérer une application en 2024, ce qui reste encore loin, cela amène une avancée importante dans le domaine des objets connectés. Également, au niveau français et international, l’AFNOR travaille sur une norme ISO d’un système de notation de niveau de sécurité des IoT qui permettra de mettre en évidence les objets à risque pour l’utilisateur. Au niveau des sites web, un Cyber Score arrivera en France en 2023 pour les principales plateformes permettant d’indiquer le niveau de risque au niveau de la vie privée et de la sécurité.

Les limites des mécanismes existants

La sécurité de l’objet est principalement travaillée lors de sa conception, dans une démarche dite de Security By Design. Cette sécurité est indispensable et c’est ce qu’imposent les nouveaux règlements. Cependant, cette sécurité reste plutôt limitée à la sortie de l’objet : les mises à jour dépendent du bon vouloir du fabricant ainsi que la garantie de la durée de maintenance. Aujourd’hui, certains équipements, comme les télévisions, sont conservés en moyenne plus de 7 ans [4] et, avec une volonté de sobriété, il est préférable de conserver les équipements de plus en plus longtemps, tendance  qui n’est pas toujours intéressante pour les constructeurs qui préfèrent vendre de nouveaux équipements. Cela montre combien ces scores ne sont pas encore suffisants lorsque l’on parle de sécurité. En effet, des vulnérabilités sortent tous les jours avec de nouveaux risques qui peuvent devenir physiques : surveillance de la présence grâce au thermostat ou la télévision pour ensuite cambrioler la maison par exemple.

De nouveaux outils pour améliorer le suivi de la sécurité

Tout en participant à la mise en place de ces scores, Orange, via ses projets de recherches, travaille également sur un outil de visualisation pour suivre en continu les risques de sécurité de tous les équipements de la maison, que ce soit une prise connectée, un téléphone mobile ou un ordinateur. Cela permet de prodiguer des conseils pour aider chacun à sécuriser ses équipements. Que ce soit en aidant à faire une mise à jour, conseillant la désinstallation d’application ou coupant les accès distants à certains équipements ou en les isolant. Cet outil serait présent sur la Livebox de manière à faire le suivi en local et activé par les personnes souhaitant contrôler leurs appareils. Il resterait toujours sous le contrôle de l’utilisateur pour ne pas perdre des fonctionnalités qui lui seraient nécessaires. Ce suivi est accompagné d’un score mis à jour en continu sur les différents appareils pour visualiser de manière simple les risques.

Un score qui vérifie chaque aspect de la sécurité

Ce score continu, travaillé dans le cadre du projet de recherche, est basé sur 3 axes. Le premier axe nommé « Design » se concentre sur les risques liés à la conception de l’objet avec les failles logicielles, la vérification de la maintenance du système et de l’absence d’applications indésirables. Le second l’axe « Privacy » vérifie si l’objet ne diffuse pas sur le réseau des informations personnelles et si les informations communiquées vers l’extérieur le sont auprès de serveurs respectant les normes RGDP et avec un protocole garantissant la non-interception des données. Enfin, e troisième l’axe « Activity » est lié aux accès externes de l’équipement avec la vérification qu’il n’y a pas de serveur compromis ou que les protocoles utilisés ne sont pas obsolètes. Ces trois axes sont ensuite agrégés sur un score unique maintenu à jour en permanence. À la manière du Nutri-Score, la pondération entre les différents axes serait dépendante du type d’équipement et du type de risque pour l’utilisateur, que ce soit par les données qu’il manipule ou son usage. Ce score concerne tous les équipements connectés, du téléphone à la caméra.

Design Privacy Activity

Un système respectueux de la confidentialité

Avoir un suivi permanent de la sécurité des objets entraine de nombreuses questions sur la vie privée. En effet si l’outil qui surveille la sécurité des objets est lui-même à risque pour les données manipulées, cela n’améliorait pas la sécurité de l’utilisateur. Ce système de suivi est donc local, au plus proche des utilisateurs et des objets. Cela améliore la pertinence des résultats, mais également garantit le respect de la vie privée par un traitement ne nécessitant pas d’envoyer de l’information à l’extérieur. Orange, en tant qu’acteur de confiance, a pour mission de permettre à tous d’accéder au numérique de manière sécurisée. En tant qu’opérateur et point d’accès de la maison, Orange peut apporter une sécurité des équipements de la maison.

Le partage des résultats d’audit

Avec le consentement des utilisateurs, ce système de suivi des équipements pourrait également remonter le score des objets de manière anonyme auprès d’un puits de données. Ce Cyber Score évolutif et toujours actualisé pourrait aider à l’achat en le mettant à disposition des plateformes d’aide à l’achat ou sur un espace dédié. Il pourrait aussi devenir un atout aux bénéfices des constructeurs de plus en plus attentifs aux problèmes de sécurité.

Sources :

[1] https://hellofuture.orange.com/en/tag/cybersecurity/

[2] https://www.orange-business.com/fr/blogs/securite/actualites/hack-the-home-24h-de-torture-pour-des-box-domotiques-le-20-et-21-novembre-2015

[3] https://www.cesin.fr/actu-7eme-edition-du-barometre-annuel-du-cesin-enquete-exclusive-sur-la-cybersecurite-des-entreprises-francaises.html

[4] https://www.lesnumeriques.com/tv-televiseur/obsolescence-des-televiseurs-le-condensateur-pointe-du-doigt-une-reparation-maison-impossible-a166301.html

Maximilien Baumann

A lire aussi sur Hello Future

GettyImages - flexible batteries biofuel biocombustible
Recherche | Article

Le biocombustible, nouvel horizon pour les batteries flexibles

Découvrir
Getty Images - drone - incendie
Recherche | Article

Un drone analyse l’air en forêt pour détecter les feux avant toute fumée visible

Découvrir
Thingin scan and scale
Recherche | Blog

Scanner et passer à l’échelle, les deux défis d’un annuaire mondial des objets

Découvrir
Recherche | Article

Introducing Thing in the future : la Recherche valorise sa plateforme Web des Objets

Découvrir
Recherche | Article

Stéphane Pateux, cocréateur de la maison sensible de demain

Découvrir
Recherche | Article

Avec Julien Cumin, une préfiguration de la maison de demain

Découvrir
Recherche | Article

Avec la plateforme Home’in, la maison sensible s’édifie à plusieurs

Découvrir
Recherche | Blog

Internet des Objets, la vision de la recherche

Découvrir