Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La standardisation de l’Internet des objets est une nécessité

novembre 2014 par Emmanuelle Lamandé

Nous vivons dans un monde où des milliards d’appareils connectés génèrent d’énormes quantités de données. A terme, cela abolira les frontières entre les objets physiques et virtuels et permettra l’interconnexion des objets et des personnes. S’il offre d’incroyables opportunités économiques, l’Internet des objets soulève également de nombreuses problématiques en termes de sécurité. L’écosystème qui l’encadre devra, de plus, faire l’objet d’une standardisation globale. Pierre Courrieu, Cepheid-Consulting, ouvre le débat à l’occasion d’une journée dédiée lors du salon CARTES.

Le monde connecté est désormais notre réalité, observe Jason Hart, Directeur Exécutif, Identiv. Presque tout ce que nous faisons dans notre vie quotidienne a dorénavant un impact « online », puisque notre présence et nos activités sont presque enregistrées partout. Lorsque l’on voyage par exemple, chaque individu est aujourd’hui quasiment suivi à la trace : entre l’enregistrement du vol, les bagages, les contrôles de titres d’identité, les taxis, l’hôtel, la géolocalisation liée aux recherches d’itinéraires, l’utilisation de réseaux Wi-Fi pour naviguer sur Internet ou recevoir ses emails, sans parler des multiples objets connectés qui nous suivent dans notre quotidien… De plus, chaque personne aurait en moyenne à l’heure actuelle 17 identités différentes en ligne (identités personnelles, professionnelles, associées aux réseaux sociaux, réseaux intelligents…). De son côté, le nombre d’objets connectés devrait, selon les prévisions, doubler tous les 5 ans, creusant sérieusement l’écart avec l’évolution de la population mondiale. On devrait compter 25 milliards d’objets connectés en 2015 pour 7,2 milliards d’individus, et 50 milliards d’objets connectés en 2020 pour 7,6 milliards d’individus. Pourtant, les risques associés sont nombreux et plus de 500 millions de comptes auraient d’ailleurs été piratés dans le monde au cours des 12 derniers mois (Google, ebay, Target, Orange, Snapshat…).

Dans un tel monde, l’identité des individus se doit d’être de confiance, et celle des objets aussi. Mais comment établir de la confiance dans ce monde connecté ? Pour lui, les modèles de sécurité reposant sur un login/password ont largement montré leurs vulnérabilités par le passé et nous ne devons pas reproduire les mêmes erreurs dans le monde de l’Internet des objets. De plus, la confiance ne doit pas se trouver dans le périmètre, mais bien dans l’identité même. Nous avons besoin, selon lui, d’une identité unique de confiance agnostique d’un format technologique spécifique, un système unique sécurisé pour tous les accès, reposant sur l’utilisation de certificats digitaux, ainsi que de standards ouverts, interopérables et sécurisés.

Standardisation de l’Internet des objets : vers une coordination des acteurs ?

La standardisation de l’Internet des objets est, à l’heure actuelle, fragmentée à travers l’industrie, explique Sebastian Hans, Directeur Standardisation chez Oracle, et Responsable du groupe de travail dédié à l’Internet des objets de GlobalPlatform. La plupart des organisations en sont encore au stade de la définition de leur positionnement sur ce marché. Cependant, certains signes de coordination sont d’ores et déjà visibles. oneM2M a, par exemple, publié une première proposition et ouvert un appel à commentaires auprès des autres organisations, auquel le groupe de travail de GlobalPlatform dédié à l’Internet des objets a d’ailleurs répondu. GlobalPlatform et l’IEEE sont également en discussion en vue de devenir partenaires de cette initiative. L’IETF a, de son côté, formé un conseil d’administration en charge de la coordination des activités IoT au sein du groupe, mais aussi avec les organisations extérieures. De plus, on observe aujourd’hui une réelle prise de conscience de la plupart des organisations quant à la nécessité d’intégrer l’Internet des objets dans les standards de sécurité existants.

GlobalPlatform est une association spécialisée dans le développement d’infrastructures cartes à puce. Elle identifie, développe et publie des spécifications qui facilitent le déploiement sécurisé et interopérable, ainsi que la gestion de plusieurs applications embarquées sur la technologie des puces sécurisées. Ses spécifications techniques pour les cartes, les terminaux et les systèmes sont considérées aujourd’hui comme le standard de l’industrie pour réaliser des déploiements de cartes à puce interopérables, durables et flexibles, et supportant l’implémentation de modèles multi-applicatifs, multi-acteurs et multi-business. En 2012, plus de 2 milliards de cartes GlobalPlatform ont été produites dans le monde.

Le remote management est un facteur clé

Quel rôle peut jouer une telle entité sur le marché de l’Internet des objets ? Les spécifications de GlobalPlatform définissent, par exemple, l’architecture de sécurité d’un Secure Element (SE), élément sécurisé que nous connaissons principalement sous la forme de puce introduite dans une carte (cartes SIM, microSD…). Le Secure Element peut également être directement embarqué dans le device (embedded SE). Le management à distance, ou remote management, de ces SE a, selon lui, un rôle très important en la matière. La plupart des objets connectés sont, en effet, censés avoir une espérance de vie assez importante, afin de rentabiliser le développement des infrastructures sur lesquelles ils reposent. Toutefois, pour durer dans le temps, les SE de ces devices ont besoin d’un management régulier, qu’il s’agisse de patching, d’updating, de reconfiguration, de modification d’informations ou de softwares… Ce management, s’il se veut efficient, doit pouvoir se faire à distance et être standardisé.

Certaines organisations spécialisées dans le M2M et/ou l’Internet des objets, comme oneM2M et GSMA, ont d’ores et déjà recours aux spécifications de GlobalPlateform. C’est le cas, par exemple, de la spécification GSMA eUICC (embedded Universal Integrated Circuit Card) Embedded SIM. Les cartes SIM peuvent désormais être intégrées pendant la phase de fabrication du produit. L’objectif est de pouvoir modifier ou personnaliser ces cartes à distance. Le fait de ne plus avoir à remplacer ces cartes pendant la durée de vie d’un produit M2M permet, en premier lieu, d’optimiser les coûts. Pour Michele Scarlatella, Directeur de SIMalliance, l’eUICC représente le bon choix pour la sécurité M2M et jouera, en effet, un rôle d’accélérateur du marché. Jean-christophe Tisseuil, Directeur SIM, GSMA, estime aussi que la spécification GSMA Embedded SIM va accélérer la croissance du marché et améliorer l’efficience opérationnelle. Elle permettra également de prévenir une fragmentation du marché en évitant des solutions techniques différentes et incompatibles. Ce nouveau standard devrait enfin faciliter le management de la sécurité over the air.

Un travail est donc actuellement en marche pour standardiser l’écosystème qui encadre l’Internet des objets, même si beaucoup reste à faire et que la réflexion prime pour l’instant sur l’action. De toute façon, l’ensemble des acteurs et organisations devront à terme s’accorder sur ces problématiques, l’Internet des objets étant notre futur à tous. Les problèmes de collecte d’informations, de transmission et de stockage de ces données… devront trouver réponse, les vulnérabilités et menaces pesant sur ces systèmes étant nombreuses. Pour Steve Gussenhoven, Responsable Marketing de Keolabs, la sécurité devra, en outre, être promue aussi bien du côté des designers et développeurs que des utilisateurs finaux. D’autant que cette évolution du monde ne pourra se faire sans la confiance des utilisateurs, conclut Emmanuel Routier, Vice-Président Monde M2M, Orange Business Services.




Voir les articles précédents

    

Voir les articles suivants