L'Internet des objets (IoT), comme toute technologie en développement rapide, connaît un certain nombre de «maladies liées à la croissance», dont la plus grave est le problème de sécurité. Plus les appareils «intelligents» sont connectés au réseau, plus les risques associés à l'accès non autorisé au système IoT et à l'utilisation de ses capacités par les attaquants sont élevés. Aujourd'hui, les efforts de nombreuses entreprises et organisations dans le domaine de l'informatique visent à trouver des solutions qui minimiseront les menaces qui entravent la mise en œuvre complète de l'IoT.
Intelligent mais vulnérable
Le développement du concept de l'Internet des objets et sa mise en œuvre dans divers domaines prévoit la présence de dizaines de milliards d'appareils autonomes. Selon le portail
Statista, il y en a déjà plus de 20 milliards en 2017, et au moins 75 milliards en 2025. Tous sont connectés au réseau et transmettent à travers lui des données correspondant à leurs fonctionnalités. Les données et les fonctionnalités sont des cibles pour les attaquants, ce qui signifie qu'elles doivent être protégées.
Pour les appareils IoT, la sécurité consiste principalement en l'intégrité du code, l'authentification des utilisateurs (appareils), l'établissement des droits de propriété (y compris les données générées par eux) et la capacité de repousser les attaques virtuelles et physiques. Mais en fait, la plupart des appareils IoT qui fonctionnent aujourd'hui ne sont pas équipés de fonctionnalités de sécurité, ils ont des interfaces de contrôle externes, des mots de passe par défaut, c'est-à-dire qu'ils ont tous les signes de vulnérabilité du Web.
Nous nous souvenons encore des événements d'il y a un an, lorsque le botnet Mirai, en sélectionnant des combinaisons de connexions et de mots de passe par défaut, a piraté un grand nombre de caméras et de routeurs, qui ont ensuite été utilisés pour une puissante attaque DDoS contre les réseaux de fournisseurs UK Postal Office, Deutsche Telekom, TalkTalk, KCOM et Eircom. Dans ce cas, le «bootforce» des appareils IoT a été effectué à l'aide de Telnet et les routeurs ont été piratés via le port 7547 à l'aide des protocoles TR-064 et TR-069.
Mais le plus retentissant, peut-être, a été l'attaque qui a mis l'opérateur DNS DYN, et avec lui presque le «demi-Internet» des États-Unis. Pour l'attaque par botnet, la méthode la plus simple a été utilisée via les connexions et les mots de passe par défaut des appareils.
Ces événements ont clairement démontré les lacunes des systèmes IoT et la vulnérabilité de nombreux appareils intelligents. Il est clair que les défaillances des montres intelligentes ou des trackers de fitness de quelqu'un ne feront pas beaucoup de mal, sauf la frustration de leurs propriétaires. Mais le piratage d'appareils IoT qui font partie des systèmes et services M2M, en particulier, sont intégrés dans une infrastructure critique, est lourd de conséquences imprévisibles. Dans ce cas, le degré de leur sécurité doit correspondre à l'importance de telle ou telle infrastructure: transport, énergie ou autre, dont dépendent l'activité vitale des personnes et le travail de l'économie. Également au niveau des ménages - les défaillances et les attaques sur le même système de maison «intelligent» peuvent conduire à des situations d'urgence et dangereuses communes ou locales.
Bien sûr, des menaces pesant sur les infrastructures existaient également avant l'époque d'Internet - par exemple, en raison des mêmes catastrophes naturelles ou des erreurs des concepteurs. Cependant, avec l'avènement des appareils connectés au réseau, un autre a été ajouté, et probablement un ordre de grandeur plus grave - une cyberattaque.
Certification d'appareil
Le problème de sécurité existant des appareils IoT ne s'est pas posé en raison de la stupidité technique ou de la négligence de leurs développeurs. Ici, les oreilles s'en tiennent à un calcul sobre: la vitesse d'entrée sur le marché donne un avantage sur les concurrents, mais pas pour longtemps, et même en raison du faible seuil de sécurité.
La plupart des fabricants ne prennent pas la peine de consacrer du temps et de l'argent à développer et tester les codes et les systèmes de sécurité de leurs produits «intelligents».
Une façon de les amener à reconsidérer leur attitude vis-à-vis de la sécurité de leurs produits IoT est la certification. L'idée n'est pas nouvelle, mais mérite quand même l'attention, du moins c'est au moins un moyen de résoudre le problème. La procédure de certification des appareils IoT ne doit pas être bureaucratique et garantir à l'acheteur qu'il dispose d'un certain degré de protection contre les attaques de pirates. Pour commencer, la nécessité d'un certificat de sécurité peut être indiquée lors de la passation de marchés publics et d'entreprises.
Aujourd'hui, plusieurs entreprises privées sont également impliquées dans les questions de certification. En particulier, l'Online Trust Alliance (OTA) a pris l'initiative d'aborder la sécurité de l'IoT au niveau des États et des fabricants en publiant l'
IoT Trust Framework , une liste de critères pour les développeurs, les fabricants d'appareils et les fournisseurs de services qui cherchent à améliorer leur sécurité, leur confidentialité et leur cycle de vie. Produits IoT. Tout d'abord, il se concentre sur la maison connectée, le bureau et les appareils portables et est une sorte de code de conduite de recommandation et la base de plusieurs programmes de certification et d'évaluation des risques.
Cette année, la division indépendante de Verizon, ICSA Labs, a
lancé un programme de test de sécurité et de certification des appareils IoT. Selon ses développeurs, il est l'un des premiers du genre et teste des composants tels que la notification / journalisation, la cryptographie, l'authentification, la communication, la sécurité physique et la sécurité de la plate-forme. Les appareils certifiés seront marqués d'une marque d'approbation spéciale ICSA Labs, indiquant qu'ils ont été testés et que les vulnérabilités découvertes ont été corrigées. Les appareils certifiés seront également surveillés et testés périodiquement tout au long de leur cycle de vie pour maintenir leur sécurité.
À son tour, le
programme de test et de certification UL Cybersecurity Assurance (CAP) vise à garantir la sécurité des produits et des systèmes. La certification CAP certifie qu'un produit ou un système offre un niveau de protection raisonnable contre les risques qui pourraient entraîner un accès, une altération ou une panne involontaire ou non autorisé. De plus, CAP confirme également que les futurs correctifs, mises à jour ou nouvelles versions logicielles d'un produit ou système certifié ne réduiront pas le niveau de protection qui existait au moment de l'évaluation.
Cependant, de nombreux experts en sécurité IoT estiment que le plus grand avantage de ces programmes de certification sera lors du test non seulement d'un appareil spécifique, mais de l'écosystème entier: son infrastructure, ses applications, etc. Après tout, un appareil IoT testé et sécurisé peut également échouer lors de l'interaction au sein du système.
Disposant d'avantages indéniables pour le développement de l'IoT, les programmes de certification ont un inconvénient. Le simple fait de réussir le test et la disponibilité d'un certificat ne peut pas être une garantie à 100% de sa sécurité, car, très probablement, il présente encore certains défauts. Une foi excessive dans un certificat de sécurité peut jouer un tour aux utilisateurs qui ont des besoins individuels et diverses applications pour leurs appareils, ce qui signifie leurs propres risques et menaces. Et, bien sûr, la possibilité d'abus n'est pas exclue. Il y a sûrement des fabricants qui paieront pour la "quasi-certification", poursuivant des objectifs purement commerciaux.
Il semble qu'une solution globale au problème de sécurité par le biais de la certification nécessite une solution unificatrice, une incitation commune pour tous les fabricants à produire des appareils sécurisés et les consommateurs à ne pas acheter ceux dont la sécurité n'est confirmée par rien. Ce qu'il devrait être - législatif, économique ou punitif - n'a pas encore été décidé. En fin de compte, le résultat devrait être la sécurité du système IoT mondial.
Technologie blockchain
La sécurité de l'Internet des objets a été l'un des premiers domaines d'utilisation de la technologie blockchain. Grâce à la technologie du registre distribué, il est devenu possible de fournir un niveau élevé de sécurité pour les appareils IoT sur le réseau et d'éliminer les restrictions et les risques existants pour l'IoT associés à la centralisation.
Il vous permet de sauvegarder rapidement et en toute sécurité les protocoles d'échange et les résultats de l'interaction de divers appareils IoT dans un système décentralisé. C'est l'architecture distribuée de la blockchain qui garantit la sécurité suffisamment élevée de l'ensemble du système IoT. Mais si certains des périphériques réseau sont toujours sujets au piratage, en général, cela n'affectera pas le fonctionnement global du système. L'utilisation mentionnée par les botnets d'appareils «intelligents» fonctionnant dans les systèmes IoT est devenue possible en raison de leur faible sécurité. Le type de confiance distribué vous permet de vous débarrasser d'un appareil piraté sans endommager sensiblement l'ensemble du modèle d'interaction entre des objets «sains».
Dans le contexte de la sécurité, la blockchain peut aujourd'hui être utilisée dans un certain nombre de domaines dans lesquels l'Internet des objets se développe le plus intensément. Par exemple, il s'agit de la gestion de l'authentification, de la vérification de l'intégrité de divers services, de la garantie de l'indivisibilité des informations, etc. Au début de l'année, un certain nombre de sociétés de premier plan, dont Cisco, BNY Mellon, Bosch, Foxconn et plusieurs autres, ont formé un
consortium qui trouvera des solutions pour utiliser la blockchain afin d'augmenter la sécurité et d'améliorer l'interaction des produits IoT. La tâche principale que ses membres se sont fixée est le développement sur la base de la technologie blockchain d'une base de données distribuée et d'un protocole pour l'échange d'informations entre les dispositifs IoT.
Notez qu'en janvier 2017, DHS USA a commencé à utiliser la technologie blockchain pour protéger, transmettre et stocker les données collectées par le département à partir de caméras de vidéosurveillance et de divers capteurs de surveillance. La technologie est également testée par la DARPA, une division du département américain de la Défense qui supervise le développement de nouvelles technologies pour l'armée. De plus, l'une des agences menant des recherches sous le toit du Pentagone a signé un contrat de plusieurs millions de dollars avec la société de logiciels Galois, qui développe la sécurité dans le domaine de la blockchain.
Aujourd'hui, il est déjà évident qu'il sera difficile de réaliser toutes les possibilités que le concept IoT peut offrir aux utilisateurs sans résoudre les problèmes de sécurité et de confidentialité. Bien entendu, les méthodes de protection de l'IoT décrites ci-dessus ne sont pas exhaustives; de nombreux groupes, entreprises et passionnés travaillent sur une solution au problème. Mais surtout, un haut niveau de sécurité pour les appareils IoT devrait être la principale préoccupation de leurs fabricants. Une protection fiable devrait initialement faire partie des fonctions du produit et devenir un nouvel avantage concurrentiel pour les fabricants et les fournisseurs de solutions IoT complexes.