Souvent décrit comme la nouvelle révolution de l’Internet, l’Internet des objets (IdO) nous fait vivre dans un monde rempli de possibilités, mais aussi de nouvelles vulnérabilités. Des chercheurs de Polytechnique nous expliquent les principaux défis de sécurité de l’IdO et quelles avenues ils explorent pour développer des solutions destinées à mieux protéger les organisations et les citoyens.

Les barrières s'estompent entre monde physique et monde numérique

« L’Internet des objets forme un écosystème d’objets interconnectés par Internet, explique le Pr José Fernandez, spécialiste de la sécurité informatique au Département de génie informatique et génie logiciel (GIGL). Ces objets relient le monde physique au monde numérique en agissant comme capteurs, comme transmetteurs et comme actuateurs, puisqu’ils effectuent une action dans le monde physique en fonction du traitement des données transmises. »

Pour fonctionner, un objet connecté a généralement besoin de posséder un logiciel ou un système d’exploitation, une interface de communication sans fil (par exemple un téléphone intelligent), l’accès à un réseau (Wifi, 3G, Bluetooth, etc.), un serveur pour héberger les données recueillies (qui peut être hébergé dans l’infonuagique), ainsi qu’une application dédiée pour l’utilisateur. « Tous ces éléments présentent des vulnérabilités spécifiques qui constituent autant de portes d’entrée pour des agents malveillants. Des cybercriminels peuvent voler les données enregistrées par les objets connectés mais aussi modifier le comportement de ces objets en les manipulant à distance », indique le Pr Fernandez.

Celui-ci considère que la sécurité devrait entrer en ligne de compte dès la phase de conception du produit : le design du produit doit intégrer la sécurité, de même que le matériel informatique qui va l’équiper et l’élément logiciel également, qui nécessite une protection contre les tentatives de piratages. Par ailleurs, les mises à jour et améliorations du système d’exploitation devraient être régulières, tout au long du cycle de vie de l’objet. La sécurisation de la communication et des données requiert la sécurisation du réseau et des serveurs. « Par optimisme et par attrait pour l’innovation sans doute, les concepteurs et les utilisateurs se montrent souvent négligents sur tous ces plans. Or en matière de sécurité, il est bon d’être paranoïaque ! Et c’est aussi une question d’économie, car introduire la sécurité dès la phase de design revient beaucoup moins cher que l’introduire après », d’ajouter le Pr Fernandez.

Un monde hybride plus vulnérable

D’ici 2020, il y aura au moins 28 milliards d’objets connectés dans le monde et leur marché pourrait représenter plus de 1 700 milliards de dollars, selon une estimation du groupe mondial International Data Corporation (IDC). En effaçant la frontière entre le cyberespace et le monde physique, cette prolifération des objets connectés fait entrer les vulnérabilités numériques dans notre environnement réel. Dans ce monde hybride, nous devenons tous plus exposés aux attaques des cybercriminels et les conséquences peuvent prendre une ampleur inédite, d’où la mobilisation d’équipes de chercheurs partout dans le monde.

À cet égard, Polytechnique fait d’ailleurs partie du club encore très fermé des universités où des chercheurs tels que le Pr Fernandez mènent des travaux sur l’aspect sécurité (security) proprement dite, qui concerne les risques de nature malveillante, ainsi que sur l’aspect sûreté (safety), qui se rapporte aux risques de nature accidentelle.

Particularités de la sécurité dans l’IdO

« Une des caractéristiques de la notion de sécurité dans l’IdO est de réunir sécurité et sûreté, considérés auparavant comme indépendantes, dans un même produit, avec parfois risque de conflit », mentionne le Pr Fernandez. Un système automatisé de fermeture de porte en est un bon exemple : alors que la sûreté exige que le système permette que les portes soient ouvertes de l’intérieur en cas de danger, afin de permettre une évacuation, la sécurité exige dans le même cas que les portes se verrouillent et ne puissent être ouvertes de l’extérieur. « Cet exemple illustre bien que la solution traditionnelle orientée vers la sûreté - on déverrouille les portes - ne convient pas en termes de sécurité », souligne le chercheur.

L’autre caractéristique, c’est la différence des enjeux selon le domaine où se déploie l’IdO. « Chaque domaine est caractérisé par la maturité de ses joueurs technologiques. Entre ces domaines, les risques s’échelonnent en fonction d’un spectre de gravité », précise le Pr Fernandez. À un bout du spectre se trouve le domaine des produits de consommation connectés, où les utilisateurs n’ont pas expertise en sécurité. Les menaces pèsent surtout sur la vie privée, et les impacts des cybercrimes sont individuels. À l’autre bout du spectre, on a les infrastructures critiques, avec, en cas de cyberattaque, des impacts tels que le blocage de services essentiels, la désorganisation d’une ville entière, voire une menace contre une population.

L’ampleur des conséquences du piratage informatique dépend aussi des motivations des cybercriminels, fait valoir le chercheur. « L’argent est presque toujours la principale motivation derrière une menace. C’est pourquoi le vol de données individuelles fait partie des menaces les plus courantes. Cependant, certaines menaces peuvent être motivées par une idéologie ou par des raisons belliqueuses. Il s’agit alors d’espionnage ou de sabotage. Par exemple, le ver Stuxnet, développé par les États-Unis et Israël, est capable de prendre le contrôle des systèmes de contrôle et d’acquisition de données des infrastructures (SCADA) et d’en modifier le code à l’insu des opérateurs. Il y a quelques années, il a perturbé le programme nucléaire iranien en sabotant les centrifugeuses utilisées dans le raffinement d’uranium. »

IdO grand public : le grand flou

Le domaine des objets de consommation est le plus immature en matière de sécurité. Pris dans une course à l’innovation pour des raisons concurrentielles, les fournisseurs négligent en effet la sécurité des dispositifs connectés et de leurs infrastructures.

« De nombreux joueurs manquent de vision en matière de risques », relève David Barrera, professeur au Département de GIGL et spécialiste de la sécurité de l’IdO. Ils intègrent à leurs produits des solutions plus ou moins "bricolées" à partir de plusieurs éléments trouvés sur le marché. Résultat : les architectures et les systèmes d’exploitation de ces produits sont beaucoup moins robustes que ceux des PC, et on retrouve des failles déjà corrigées sur les systèmes tels que Windows, MacOS ou Linux. Et à la différence de ces derniers, les systèmes qui équipent les objets connectés, de même que leurs logiciels, ne bénéficient pas de mises à jour systématiques de la part des fournisseurs. À cet égard, on assiste donc à un retour en arrière, alors que les pirates disposent quant à eux de connaissances et de matériel facilement disponibles aujourd’hui. »

Lui-même mène des travaux portant sur le développement de nouvelles architectures de communication sécurisées entre les objets connectés. « La pléthore d’objets connectés est un défi. Il faut trouver des solutions qui s’appliquent à de grandes classes d’objets. Je cherche également à améliorer la transparence, c’est à dire proposer des solutions pour aider l’utilisateur à comprendre les opérations que les objets sont en train d’effectuer et où ils envoient leurs données. La petite taille des objets connectés, qui rend difficile l’intégration d’une interface de contrôle est, de ce point de vue, un autre défi. »

Même si de nouvelles solutions technologiques pourront régler certains problèmes, le Pr Barrera insiste sur la nécessité de normes plus rigoureuses concernant les équipements informatiques et logiciels des objets connectés, ainsi que d’une réglementation resserrée. « On a aussi besoin de responsabiliser davantage les fabricants. Parallèlement, il faudrait sensibiliser les utilisateurs aux risques qui pèsent sur leur vie privée. »

Il se réjouit de constater chez ses étudiants un vif intérêt pour tous les aspects de la sécurité. « Mieux que leurs aînés, ces futurs ingénieurs seront en mesure de cerner les vulnérabilités des produits fabriqués ou utilisés dans leur environnement de travail et d’y apporter des solutions. »

Infrastructures : un lourd héritage du passé

La notion d’Internet des objets ne se limite pas à l’univers des produits de consommation. Sa définition la plus ouverte englobe aussi le contexte industriel, dont les opérateurs des infrastructures critiques (énergie, télécommunications, transports, distribution d’eau, hôpitaux, finance, etc.). Leurs systèmes SCADA, en particulier, représentent, des éléments particulièrement sensibles aux menaces.

Chercheur au Département de GIGL, Antoine Lemay est un expert dans le domaine de la protection des infrastructures critiques. Il se consacre notamment à l’analyse d’impact des cyberattaques, dans le but d’y sensibiliser les décideurs. Il constate la situation particulière prévalant dans un bon nombre d’entre elles :

« Les systèmes de ces infrastructures ont été installés avant Internet, certains sont issus des technologies des années 70. Pour des raisons d’économie, la plupart des infrastructures n’ont pas procédé à un redesign complet de leurs systèmes, cette option étant très coûteuse. Elles ont plutôt adopté des technologies IP commerciales quand elles ont effectué leur mise à niveau dans les années 90. Elles se retrouvent donc avec le pire des deux mondes : un lourd patrimoine de systèmes archaïques supporté par des technologies semi-modernes et peu sûres, car souvent interconnectées avec le reste du réseau des organisations. »

Les opérateurs des infrastructures critiques ne possèdent pas toujours les compétences internes pour soutenir leurs systèmes (il y a une pénurie de main-d’oeuvre qualifiée dans le domaine de la sécurité des infrastructures). La gestion en est souvent confiée à des entreprises tierces, si bien que les protocoles de sécurité varient beaucoup d’une infrastructure à l’autre. Dans certaines d’entre elles, on s’aperçoit que des protocoles des réseaux de contrôle industriel ne valident pas systématiquement les droits d’accès. Toutefois, la situation est très variable d’une entreprise à une autre.

Les solutions auxquelles travaille M. Lemay tiennent compte de cette situation afin de répondre de façon réaliste aux besoins des infrastructures en matière de cybersécurité. Il indique que des mesures de sécurité efficaces doivent également prendre en considération les vulnérabilités humaines. « La notion de sécurité du personnel ne se limite pas à la protection contre les tentatives d’hameçonnage. Il peut exister aussi une menace interne. On peut penser par exemple au cas d’employés mécontents, qui pourraient abuser de leurs accès pour nuire à leur employeur. Les entreprises ont besoin d’être davantage sensibilisées à ces aspects. »