La course pour sécuriser les objets connectés

Faillible, l’écosystème de l’Internet des Objet (IoT) ? Bien conscient de l’enjeu, Orange publie son Livre Blanc de la sécurité IoT et livre ses dernières observations sur le sujet.

« Pour le futur, tout l’enjeu est d’incorporer les critères de sécurité dans les standards, voire d’entrer dans une logique de certification. »

Orange est présent sur l’ensemble de la chaîne de service IoT : à travers les réseaux avec ses investissements dans LoRa et le LTE-M ; dans la gestion des objets et des données via son offre Datavenue et ses plateformes Live Objects et DataShare ; mais aussi dans les objets eux-mêmes avec une place de marché d’objets connectés conçue en lien avec de nombreux partenaires. Réseaux, plateformes et objets : trois piliers, un même enjeu de sécurité. Dans un environnement où les menaces liées au numérique ne cessent de croître, la confiance est un prérequis indispensable à la réussite de l’IoT. Elle ne peut se gagner qu’en concevant des solutions sécurisées et respectueuses de la vie privée des utilisateurs.

Des cybermenaces classiques, pour l’instant

Quand on pense risque dans l’IoT, on a surtout en tête l’une de ses spécificités : la capacité pour un malfaiteur à prendre le contrôle d’un objet à distance, par exemple une voiture ou une caméra. Mais le cybercrime qui s’est développé autour de l’IoT reste le plus souvent classique : on cherche à créer des réseaux de « zombies » pour attaquer des sites, ou bien à pénétrer dans un système d’information en utilisant l’objet comme point d’entrée. L’affaire du casino qui, il y a quelques mois, a vu l’une de ses bases de données piratée via son aquarium connecté, est symbolique des problèmes en question. Dans la plupart des cas, les hackers ne s’intéressent pas à la fonction de l’objet. Au lieu de viser des ordinateurs, ils se tournent simplement vers des cibles plus faciles.

Le point faible de l’objet connecté, c’est l’objet lui-même

Les équipes d’experts d’Orange  auditent des objets connectés de toutes natures. « On cherche à la fois les failles matérielles pouvant conduire au logiciel et les faiblesses logicielles pouvant être exploitées à distance, explique Sébastien Allard, Responsable de l’équipe Sécurité des Terminaux et Systèmes. On observe la façon dont l’objet communique en radio, on cherche à savoir s’il y a des ports ouverts, des clés en clair, etc. Notre constat est largement partagé dans le secteur : à l’heure qu’il est, de très nombreux objets sont encore mal sécurisés ». En cause, le manque d’une culture sécurité chez les acteurs qui se lancent dans le secteur. S’ils possèdent une forte expertise dans leur métier, ça n’est pas toujours le cas pour la partie sécurité informatique, et ils se retrouvent donc souvent à acheter des morceaux de hardware et de firmware préfabriqués « pour fonctionner ». L’hétérogénéité des technologies, la cascade de contractants, l’apparition constante de nouveaux protocoles achèvent d’affaiblir la sécurité de ces objets connectés.

Plateformes et réseaux sous contrôle

À l’inverse, les réseaux et plateformes sur lesquels s’appuient ces objets bénéficient d’une sécurité renforcée. « Le réseau c’est notre métier depuis toujours, il y a zéro indulgence : on audite chaque porte d’entrée sur le réseau LoRa, on travaille en standardisation et on corrige les défauts. L’IoT profite aussi de la sécurité native du réseau cellulaire et de ses protocoles ». Pour ce qui est des plateformes, même logique : l’application Ma Livebox ou la plateforme domotique Smart Home répondent à des exigences de sécurité similaires. La spécificité de l’IoT réside seulement dans la quantité et la nature très privée – mon corps, ma maison – des informations générées, mais la problématique de protection des données personnelles est semblable. Pour Orange, rien ne change aux engagements déjà pris : on reste fidèle à la Charte des données personnelles, en conformité totale avec la RGPD.

Accroître le niveau de maturité des acteurs

Le cahier des charges de l’objet connecté idéal existe. « Chez Orange, nous utilisons celui de la GSMA, qui a été conçu dans le cadre d’un groupe de travail IoT auquel nous avons contribué. Nous le diffusons largement auprès de nos partenaires, de même qu’un questionnaire d’auto-évaluation », poursuit Sébastien Allard. La problématique de l’adoption des bonnes pratiques par l’industrie dépasse Orange seul, mais le Groupe y contribue activement, notamment à travers Orange Cyberdéfense qui met à disposition son expertise dans des projets de plus en plus nombreux et sensibles. « Pour le futur, tout l’enjeu est d’incorporer ces critères de sécurité dans les standards, voire d’entrer dans une logique de certification ou de labels. »

Et pour tout de suite, quelles solutions ?

Il faudra encore du temps pour optimiser la sécurité des objets. Mais, dans l’attente, Orange ne reste pas les bras croisés. Au Show Hello 2018, le Groupe a présenté Scan Sécurité, un service embarqué dans les couches logicielles de la Livebox et qui protège le réseau LAN du client. Depuis l’application Ma Livebox, il sera ainsi possible de vérifier l’état de sécurité et de mise à jour de tous les objets connectés dans le réseau domestique. Le service prévoit même un système de cloisonnement des capacités de connexion pour limiter l’impact des objets à risque. « Nous pensons qu’un acteur comme Orange aura un rôle à jouer comme médiateur dans les usages quotidien de l’IoT, non seulement pour faciliter à l’utilisateur la gestion de la privacy de ses données, mais aussi pour gérer la sécurité de ses objets, par exemple pour assurer les mises à jour. Nous -souhaitons que nos plateformes offrent des services de sécurité pour les objets et les utilisateurs », souligne Sébastien Allard. Dans le même temps, Orange continue  d’investir dans la recherche et dans l’élaboration des standards, à accompagner ses partenaires et à diffuser les bonnes pratiques. En ligne de mire ? L’émergence d’un écosystème IoT sécurisé de bout en bout.

> Télécharger le Livre Blanc – Sécurité de l’IoT rédigé par Orange (Document : pdf)

A lire aussi sur Hello Future

Des ouvriers d'une fonderie consultent une tablette

Com’in améliore le pilotage des projets BTP avec IA et IoT

Découvrir
smartphone et caméra connectée

La sécurité de l’IoT nécessite un suivi strict de la conception à l’exploitation

Découvrir

Le satellite ouvre de nouveaux horizons à l’Internet des objets

Découvrir

IoT SAFE : l’eSIM comme coffre-fort numérique

Découvrir

Ewattch : améliorer la performance des sites industriels avec un minimum d’investissement

Découvrir

De l’intelligence dans la gestion des déchets grâce aux capteurs d’Heyliot

Découvrir

Vers un “langage” unifié pour la maison intelligente

Découvrir

Des clés d’analyse pour s’y retrouver dans la constellation des technologies IoT

Découvrir