« Pour le futur, tout l’enjeu est d’incorporer les critères de sécurité dans les standards, voire d’entrer dans une logique de certification. »
Orange est présent sur l’ensemble de la chaîne de service IoT : à travers les réseaux avec ses investissements dans LoRa et le LTE-M ; dans la gestion des objets et des données via son offre Datavenue et ses plateformes Live Objects et DataShare ; mais aussi dans les objets eux-mêmes avec une place de marché d’objets connectés conçue en lien avec de nombreux partenaires. Réseaux, plateformes et objets : trois piliers, un même enjeu de sécurité. Dans un environnement où les menaces liées au numérique ne cessent de croître, la confiance est un prérequis indispensable à la réussite de l’IoT. Elle ne peut se gagner qu’en concevant des solutions sécurisées et respectueuses de la vie privée des utilisateurs.
Des cybermenaces classiques, pour l’instant
Quand on pense risque dans l’IoT, on a surtout en tête l’une de ses spécificités : la capacité pour un malfaiteur à prendre le contrôle d’un objet à distance, par exemple une voiture ou une caméra. Mais le cybercrime qui s’est développé autour de l’IoT reste le plus souvent classique : on cherche à créer des réseaux de « zombies » pour attaquer des sites, ou bien à pénétrer dans un système d’information en utilisant l’objet comme point d’entrée. L’affaire du casino qui, il y a quelques mois, a vu l’une de ses bases de données piratée via son aquarium connecté, est symbolique des problèmes en question. Dans la plupart des cas, les hackers ne s’intéressent pas à la fonction de l’objet. Au lieu de viser des ordinateurs, ils se tournent simplement vers des cibles plus faciles.
Le point faible de l’objet connecté, c’est l’objet lui-même
Les équipes d’experts d’Orange auditent des objets connectés de toutes natures. « On cherche à la fois les failles matérielles pouvant conduire au logiciel et les faiblesses logicielles pouvant être exploitées à distance, explique Sébastien Allard, Responsable de l’équipe Sécurité des Terminaux et Systèmes. On observe la façon dont l’objet communique en radio, on cherche à savoir s’il y a des ports ouverts, des clés en clair, etc. Notre constat est largement partagé dans le secteur : à l’heure qu’il est, de très nombreux objets sont encore mal sécurisés ». En cause, le manque d’une culture sécurité chez les acteurs qui se lancent dans le secteur. S’ils possèdent une forte expertise dans leur métier, ça n’est pas toujours le cas pour la partie sécurité informatique, et ils se retrouvent donc souvent à acheter des morceaux de hardware et de firmware préfabriqués « pour fonctionner ». L’hétérogénéité des technologies, la cascade de contractants, l’apparition constante de nouveaux protocoles achèvent d’affaiblir la sécurité de ces objets connectés.
Plateformes et réseaux sous contrôle
À l’inverse, les réseaux et plateformes sur lesquels s’appuient ces objets bénéficient d’une sécurité renforcée. « Le réseau c’est notre métier depuis toujours, il y a zéro indulgence : on audite chaque porte d’entrée sur le réseau LoRa, on travaille en standardisation et on corrige les défauts. L’IoT profite aussi de la sécurité native du réseau cellulaire et de ses protocoles ». Pour ce qui est des plateformes, même logique : l’application Ma Livebox ou la plateforme domotique Smart Home répondent à des exigences de sécurité similaires. La spécificité de l’IoT réside seulement dans la quantité et la nature très privée – mon corps, ma maison – des informations générées, mais la problématique de protection des données personnelles est semblable. Pour Orange, rien ne change aux engagements déjà pris : on reste fidèle à la Charte des données personnelles, en conformité totale avec la RGPD.
Accroître le niveau de maturité des acteurs
Le cahier des charges de l’objet connecté idéal existe. « Chez Orange, nous utilisons celui de la GSMA, qui a été conçu dans le cadre d’un groupe de travail IoT auquel nous avons contribué. Nous le diffusons largement auprès de nos partenaires, de même qu’un questionnaire d’auto-évaluation », poursuit Sébastien Allard. La problématique de l’adoption des bonnes pratiques par l’industrie dépasse Orange seul, mais le Groupe y contribue activement, notamment à travers Orange Cyberdéfense qui met à disposition son expertise dans des projets de plus en plus nombreux et sensibles. « Pour le futur, tout l’enjeu est d’incorporer ces critères de sécurité dans les standards, voire d’entrer dans une logique de certification ou de labels. »
Et pour tout de suite, quelles solutions ?
Il faudra encore du temps pour optimiser la sécurité des objets. Mais, dans l’attente, Orange ne reste pas les bras croisés. Au Show Hello 2018, le Groupe a présenté Scan Sécurité, un service embarqué dans les couches logicielles de la Livebox et qui protège le réseau LAN du client. Depuis l’application Ma Livebox, il sera ainsi possible de vérifier l’état de sécurité et de mise à jour de tous les objets connectés dans le réseau domestique. Le service prévoit même un système de cloisonnement des capacités de connexion pour limiter l’impact des objets à risque. « Nous pensons qu’un acteur comme Orange aura un rôle à jouer comme médiateur dans les usages quotidien de l’IoT, non seulement pour faciliter à l’utilisateur la gestion de la privacy de ses données, mais aussi pour gérer la sécurité de ses objets, par exemple pour assurer les mises à jour. Nous -souhaitons que nos plateformes offrent des services de sécurité pour les objets et les utilisateurs », souligne Sébastien Allard. Dans le même temps, Orange continue d’investir dans la recherche et dans l’élaboration des standards, à accompagner ses partenaires et à diffuser les bonnes pratiques. En ligne de mire ? L’émergence d’un écosystème IoT sécurisé de bout en bout.
> Télécharger le Livre Blanc – Sécurité de l’IoT rédigé par Orange (Document : pdf)
