La sécurité des objets connectés
La sécurité informatique est un sujet récurrent, au cœur de nombreux articles d’expert [1], et fait également régulièrement la une des actualités. Cependant, encore aujourd’hui, cet élément essentiel ne fait l’objet que de peu d’obligation et trop peu de suivi. C’est d’autant plus le cas sur les nombreux équipements qui arrivent dans les maisons. comme les caméras, les aspirateurs ou encore les distributeurs de croquettes connectés [2] Cependant, la sécurité s’améliore, des règlements se mettent en place et de nouveaux systèmes de suivi de la sécurité tout au long de la vie de l’objet sont proposés.
Surveillons les équipements connectés tout au long de leurs vies !
Les objets connectés omniprésents doivent être sécurisés
L’enquête du CREDOC montre l’augmentation de la présence des objets connectés dans la maison. Aujourd’hui, une personne sur trois dispose d’un objet connecté, 84% de la population française dispose d’un smartphone et on retrouve en moyenne 8 équipements connectés dans la maison. Un appareil qui se connecte, c’est un appareil qui s’expose, d’où l’importance de la sécurité numérique. Si, chez les particuliers, la statistique des attaques est compliquée à obtenir, plus de 50% des entreprises françaises ont été touchées par une cyberattaque en 2021 [3] et majoritairement via les salariés. Il y a déjà une prise en compte de la sécurité chez les grands fournisseurs, mais la maintenance limitée (3 ans sur un téléphone) ou l’absence d’audit avant la vente créent des risques pouvant amener à un détournement d’usage d’un équipement ou une fuite de données personnelles.
La législation sur la sécurité est en train d’être mise en place
Au niveau européen, le Cyber Resilience Act imposera une prise en compte minimale de la sécurité sur tout objet en vente. On y trouve notamment la nomination d’un correspondant en cas de problème, un système de mise à jour obligatoire, la vérification d’absence de vulnérabilité critique à la sortie, ainsi que 5 ans de maintenance. Si on peut espérer une application en 2024, ce qui reste encore loin, cela amène une avancée importante dans le domaine des objets connectés. Également, au niveau français et international, l’AFNOR travaille sur une norme ISO d’un système de notation de niveau de sécurité des IoT qui permettra de mettre en évidence les objets à risque pour l’utilisateur. Au niveau des sites web, un Cyber Score arrivera en France en 2023 pour les principales plateformes permettant d’indiquer le niveau de risque au niveau de la vie privée et de la sécurité.
Les limites des mécanismes existants
La sécurité de l’objet est principalement travaillée lors de sa conception, dans une démarche dite de Security By Design. Cette sécurité est indispensable et c’est ce qu’imposent les nouveaux règlements. Cependant, cette sécurité reste plutôt limitée à la sortie de l’objet : les mises à jour dépendent du bon vouloir du fabricant ainsi que la garantie de la durée de maintenance. Aujourd’hui, certains équipements, comme les télévisions, sont conservés en moyenne plus de 7 ans [4] et, avec une volonté de sobriété, il est préférable de conserver les équipements de plus en plus longtemps, tendance qui n’est pas toujours intéressante pour les constructeurs qui préfèrent vendre de nouveaux équipements. Cela montre combien ces scores ne sont pas encore suffisants lorsque l’on parle de sécurité. En effet, des vulnérabilités sortent tous les jours avec de nouveaux risques qui peuvent devenir physiques : surveillance de la présence grâce au thermostat ou la télévision pour ensuite cambrioler la maison par exemple.
De nouveaux outils pour améliorer le suivi de la sécurité
Tout en participant à la mise en place de ces scores, Orange, via ses projets de recherches, travaille également sur un outil de visualisation pour suivre en continu les risques de sécurité de tous les équipements de la maison, que ce soit une prise connectée, un téléphone mobile ou un ordinateur. Cela permet de prodiguer des conseils pour aider chacun à sécuriser ses équipements. Que ce soit en aidant à faire une mise à jour, conseillant la désinstallation d’application ou coupant les accès distants à certains équipements ou en les isolant. Cet outil serait présent sur la Livebox de manière à faire le suivi en local et activé par les personnes souhaitant contrôler leurs appareils. Il resterait toujours sous le contrôle de l’utilisateur pour ne pas perdre des fonctionnalités qui lui seraient nécessaires. Ce suivi est accompagné d’un score mis à jour en continu sur les différents appareils pour visualiser de manière simple les risques.
Un score qui vérifie chaque aspect de la sécurité
Ce score continu, travaillé dans le cadre du projet de recherche, est basé sur 3 axes. Le premier axe nommé « Design » se concentre sur les risques liés à la conception de l’objet avec les failles logicielles, la vérification de la maintenance du système et de l’absence d’applications indésirables. Le second l’axe « Privacy » vérifie si l’objet ne diffuse pas sur le réseau des informations personnelles et si les informations communiquées vers l’extérieur le sont auprès de serveurs respectant les normes RGDP et avec un protocole garantissant la non-interception des données. Enfin, e troisième l’axe « Activity » est lié aux accès externes de l’équipement avec la vérification qu’il n’y a pas de serveur compromis ou que les protocoles utilisés ne sont pas obsolètes. Ces trois axes sont ensuite agrégés sur un score unique maintenu à jour en permanence. À la manière du Nutri-Score, la pondération entre les différents axes serait dépendante du type d’équipement et du type de risque pour l’utilisateur, que ce soit par les données qu’il manipule ou son usage. Ce score concerne tous les équipements connectés, du téléphone à la caméra.
Un système respectueux de la confidentialité
Avoir un suivi permanent de la sécurité des objets entraine de nombreuses questions sur la vie privée. En effet si l’outil qui surveille la sécurité des objets est lui-même à risque pour les données manipulées, cela n’améliorait pas la sécurité de l’utilisateur. Ce système de suivi est donc local, au plus proche des utilisateurs et des objets. Cela améliore la pertinence des résultats, mais également garantit le respect de la vie privée par un traitement ne nécessitant pas d’envoyer de l’information à l’extérieur. Orange, en tant qu’acteur de confiance, a pour mission de permettre à tous d’accéder au numérique de manière sécurisée. En tant qu’opérateur et point d’accès de la maison, Orange peut apporter une sécurité des équipements de la maison.
Le partage des résultats d’audit
Avec le consentement des utilisateurs, ce système de suivi des équipements pourrait également remonter le score des objets de manière anonyme auprès d’un puits de données. Ce Cyber Score évolutif et toujours actualisé pourrait aider à l’achat en le mettant à disposition des plateformes d’aide à l’achat ou sur un espace dédié. Il pourrait aussi devenir un atout aux bénéfices des constructeurs de plus en plus attentifs aux problèmes de sécurité.
