La sécurité de l’IoT – Internet des Objets

La sécurité de l’IoT (Internet des Objets): Les études de la société Gartner prédisent 26 milliards d’objets connectés d’ici 2020, chaque « nœud » devant idéalement être protégé contre les logiciels espions et malveillants, les chevaux de Troie, et toutes les intrusions menaçant la vie privée.

Il existe de sérieuses raisons techniques pour lesquelles cette sécurisation n’est pas triviale.  Le problème de base est que les technologies éprouvées  que nous utilisons à ce jour pour sécuriser les interactions traditionnelles avec l’Internet ne fonctionneront pas correctement avec l’Internet des Objets. Par exemple, pour utiliser une infrastructure à clé publique (PKI),  chaque terminal doit être capable de stocker des clés numériques et exécuter des algorithmes de chiffrement et de déchiffrement, mener des « handshakes » sophistiqués pour établir des connexions sécurisées SSL, etc… Cependant, de nombreux nœuds comme les étiquettes RFID passives n’ont simplement pas la puissance électrique, le stockage ou la puissance de traitement nécessaire pour effectuer même la plus simple des tâches de PKI.

iot

Deuxièmement, une grande partie de l’internet des objets s’appuie à ce jour sur les technologies du machine-to-machine (M2M). En d’autres termes, les capteurs de l’IoT parlent les uns aux autres, au lieu de parler à un serveur centralisé. Si votre thermostat intelligent dit à votre lave-vaisselle quand démarrer, que la communication passe sur votre réseau Wi-Fi ou Bluetooth, même sans passer par internet, vous prenez de grands risques. Il va sans dire que les protocoles Wi-Fi et Bluetooth sont facilement piratables, mais comment les deux noeuds de communication savent-ils que les informations venant de l’autre sont autorisées? N’importe quel type d’interaction M2M nécessite un certain niveau de confiance, seulement nous n’avons aucun moyen de prévoir cette confiance à priori », ou de pouvoir la révoquer si un incident survenait. Comment votre lave-vaisselle peut-il savoir que quelqu’un a piraté votre thermostat?

Comment pouvons-nous vous aider ?

En employant et adaptant les technologies existantes et en vous aidant à construire la sécurité dans le design des objets communiquant dès leur conception … Parce que l’IoT est un domaine relativement nouveau, les développeurs d’objets communiquant, les fabricants d’appareils, les fournisseurs de systèmes de sécurité à domicile, de domotique, les fournisseurs de solutions et de systèmes industriels ne possèdent pas encore l’expérience des RSSI des grandes organisations sur les menaces liées à la sécurité des données dans les dispositifs mis massivement en réseaux ouverts.

Depuis plus de 20 ans, des solutions basées sur l’IAM (gestion des identités) protègent les informations transitant par Internet en toute sécurité. La PKI est déjà utilisé dans le monde de l’internet pour traiter des problèmes similaires à ceux de l’Internet des objets pour sécuriser des appareils comme les téléphones mobiles, tablettes, imprimantes et hotspots WiFi…

IoT-1

Les enjeux auxquels nous devons faire face dans l’ioT (internet des objets) sont ceux du volume exponentiel de dispositifs et de l’impossibilité d’y accéder en tant qu’utilisateur.  Conçues pour aider les entreprises à gérer les identités des utilisateurs et des « objets » ainsi que pour assurer des services sécurisés et facilement accessibles, ces solutions permettent une gestion dynamique des identités qui est modulaire, adaptable, sans limite et qui se fait en fonction d’un contexte.

User Managed Access (UMA) est un protocole basé sur OAuth destinée à répondre, à l’ère du numérique, aux préoccupations du public en termes de respect de la vie privée et du consentement de chacun. L’initiative OpenUMA rassemble la norme technique User-Managed Access (UMA) d’une popularité croissante, qui fournit un schéma pour traiter le consentement et le respect de la vie privée par voie numérique, et le projet de gestion d’accès open source OpenAM

UMA définit la façon dont les propriétaires de ressources peuvent contrôler leurs accès. UMA peut être considéré comme une application de OAuth 2 en ce qu’il utilise, profils, et étend OAuth pour permettre différents cas d’utilisation pour l’accès des ressources gérées par le propriétaire (la spécification UMA appelle lui-même un profil d’OAuth 2).  UMA  fonctionne comme une API standard ou la version d’un système de gestion d’accès Web – où le décideur peut être une organisation, ou une personne agissant en son nom propre.

UMA 2.0 vient d’être normalisé et devient de facto la solution dédiéé à l’IoT.

Une présentation de UMA 2.0 :

 

Pour en savoir plus, quelques articles sur le sujet dans nos blogs techniques.

Les technologies d’annuaires, de gestion des accès et de provisioning que nous proposons sont parfaitement adaptables et adaptées aux défis techniques posés par l’Internet des Objets.