LA SÉCURITÉ DE L'INTERNET DES OBJETS (OU IOT) - C'EST PARTI POUR UN INTERNET DES OBJETS SÛR
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
La sécurité de l’Internet des Objets (ou IoT) C’est parti pour un Internet des objets sûr Livre blanc pour tous les responsables et personnes en charge des questions liées à sécurité des communications numériques
À propos de nos livres blancs Nos experts publient régulièrement des livres blancs dans lesquels vous pouvez trouver notre vision sur des sujets d’actualité. Parfois sur des thèmes liés aux TIC, parfois sur des thèmes apparentés. Nous rédigeons ces livres blancs pour partager avec vous notre expérience et notre expertise. Pour vous inspirer et vous montrer ce qui est possible. Vous vous intéressez à nous et à nos services ? Vous trouverez plus d’informations ci-après et sur kpn.com/iot. kpn.com/iot
Sommaire
1 Notre vision : de l’ordre dans le chaos de l’IoT 4
2 Contexte : la situation de l’Internet des objets 5
3 Qu’en est-il de la sécurité de l’IoT ? 7
4.1 Ville intelligente et environnement 9
4.2 Entreprise intelligente 10
4.3 Maison intelligente 11
4.4 Objets connectés 12
5 Lignes directrices importantes tirées de la 13
pratique
6 Conclusions 14
7 Notre vision : approche globale de la 15
sécurité de l’IoT
Version 1.0
3
1. Notre vision :
de l’ordre dans le chaos de l’IoT
« Internet des objets » (Internet of Things (IoT)) est utilisé comme un terme
générique pour tous les objets connectés à l’Internet. Ce livre blanc porte sur
la sécurité de l’IoT, mais ce terme est en fait trop limité pour la diversité, la
complexité et la richesse de ce thème. Il n’y a pas un seul IoT pour lequel nous
pouvons prendre des mesures de sécurité. Il s’agit de milliers d’applications,
souvent avec des exigences de sécurité totalement différentes.
Par exemple, un système de suivi de la condition physique Que signifie la sécurité dans le contexte de l’Internet des
collecte des données sensibles sur l’utilisateur qui ne sont pas objets ? Quels sont les différents domaines d’application et
destinées à être vues par d’autres personnes. Mais si un tel quelles sont les questions de sécurité concernées ? Quelles
gadget ne fonctionne pas pendant un certain temps, ce n’est sont les lignes directrices les plus importantes sur le terrain
pas une catastrophe. Alors que dans le cas d’un pacemaker, et les meilleures pratiques ?
les conséquences peuvent s’avérer fatales. Qu’en est-il des Il est impossible de résumer tous les aspects de la sécurité
systèmes de contrôle industriel qui représentent une partie de l’IoT dans un seul livre blanc. Avec ce document, KPN
essentielle des infrastructures ? Dans chacun de ces exemples, souhaite dresser un état des lieux aussi précis que possible
la sécurité prend un sens complètement différent. de la situation actuelle. Pour ce faire, nous avons recours
à des études objectives, aux incidents actuels et à des
4 champs d’application modèles de sécurité bien connus tels que le triangle DIC
L’objectif de ce livre blanc est de mettre de l’ordre dans le et le cadre de cyber sécurité du NIST. Le cas échéant, nous
chaos de l’IoT. Quels sont les développements qui ont rendu nous référons à des sources qui développent des parties
l’IoT possible ? Où en sommes-nous aujourd’hui et à quoi spécifiques.
peuvent s’attendre les entreprises à l’avenir ?
4
2. Contexte : la situation
de l’Internet des objets
Le terme « Internet des objets » existe depuis 1999. Le pionnier britannique de
la technologie, Kevin Ashton, a décrit cette année-là un « Internet des objets »
dans lequel les « objets » communiquent entre eux à l’aide de puces RFID. Les
premiers objets connectés sont d’ailleurs apparus beaucoup plus tôt. À la fin des
années 80, par exemple, a été mis au point un grille-pain qui pouvait être allumé
et éteint via l’Internet et en 1982, des étudiants du département informatique
de Carnegie-Mellon ont connecté un distributeur de Coca-Cola à l’Internet. Ils
pouvaient ainsi surveiller le stock et la température, par exemple.
Loi de Moore Les applications IoT ne manquent pas pour les
Ces dernières années, l’IoT a connu une croissance fulgurante, consommateurs : ne serait-ce que les traqueurs de
stimulée par divers développements technologiques. Le fitness et l’éclairage intelligent, par exemple. Mais l’impact
matériel informatique est donc devenu de plus en plus de l’IoT est encore plus important dans le monde des
puissant et de moins en moins coûteux. En fabriquant des affaires. Les machines et capteurs intelligents permettent
transistors de plus en plus petits, un processus appelé « mise aux entreprises de développer de nouveaux modèles
à l’échelle », ils sont de plus en plus nombreux à tenir sur commerciaux et d’adapter encore mieux les produits au
la même surface. La puissance de calcul des puces a ainsi client. Par exemple, en les surveillant à leur sortie de l’usine.
connu une croissance exponentielle, chaque fois à des coûts L’IoT est même décrit comme la 4e révolution industrielle.
moindres. Il est également au cœur de nombreux projets de villes
La loi de Moore existe depuis plus de 50 ans. Ce qui favorise intelligentes. L’IoT peut, entre autres, aider à résoudre
l’IoT également, c’est une connectivité plus rapide et plus des problèmes urbains tels que la pollution de l’air et les
largement disponible. L’essor du cloud computing et embouteillages.
l’amélioration de l’accessibilité des logiciels jouent également
un rôle crucial. Aujourd’hui, n’importe qui peut construire un
dispositif IoT. Toutes sortes d’outils gratuits et de codes prêts Quatre domaines d’application
à l’emploi sont en effet disponibles en ligne. Sans oublier le Dans ce livre blanc, nous subdivisons l’IoT en quatre
lancement du protocole IPv6. Ce nouveau protocole Internet domaines d’application : ville et environnement
fournit un nombre presque illimité d’adresses IP. Avec son intelligents, entreprise intelligente, maison
prédécesseur, le protocole IPv4, environ 4 milliards d’adresses intelligente et objets connectés. Dans la pratique,
uniques étaient disponibles. Le protocole IPv6 est donc les délimitations ne sont pas toujours aussi strictes.
considéré comme un moteur pour l’IoT. Pour les entreprises, par exemple, ce n’est pas
seulement le domaine d’application « entreprise
intelligente » qui est pertinent. Chaque domaine a
Toujours plus d’objets connectés des interfaces claires avec l’entreprise.
Il faut dire que cette capacité supplémentaire est bien
nécessaire. Selon l’agence d’études de marché Gartner, le Les employés peuvent, par exemple, emporter
nombre d’appareils « connectés » passera de 8,4 milliards avec eux des objets connectés pour travailler ou
en 2017 à plus de 20 milliards en 2020. Difficile toutefois les utiliser à des fins professionnelles. Les données
de citer des chiffres exacts. De telles estimations ne sont provenant d’une maison intelligente peuvent
évidemment pas très fiables, et sont régulièrement revues intéresser les fournisseurs d’énergie, entre autres,
à la baisse. IBM a par exemple prévu qu’en 2012, le nombre tandis qu’un projet de ville intelligente résulte
d’appareils atteindrait 1 000 milliards d’ici 2015. Un chiffre généralement d’un effort conjoint des pouvoirs
qui semblait très optimiste. Mais une chose est sûre, l’IoT publics et des entreprises, tels que les partenaires
connaît une forte croissance. technologiques et les entrepreneurs locaux.
5
Le principal défi : la sécurité
L’avenir de l’IoT semble prometteur, mais il y a aussi des
développements moins positifs. La sécurité des dispositifs
« La situation est si grave
IoT, par exemple, est généralement médiocre, en partie que des organismes officiels
parce que de nombreux fabricants (et consommateurs) ne
la considèrent pas comme une priorité. Les utilisateurs sont comme l’ENISA tirent la
souvent négligents lorsqu’il s’agit, par exemple, de définir
des mots de passe complexes. Une sécurité défaillante de
sonnette d’alarme. »
l’IoT entraîne régulièrement des incidents. Par exemple, le
botnet Mirai, un réseau de dispositifs IoT mal sécurisés, a Au début de cette année, l’Agence européenne chargée de
servi à mettre hors service l’important fournisseur de DNS la sécurité des réseaux et de l’information, en collaboration
Dyn. Un autre exemple est celui des jouets connectés peu avec les fabricants de puces, a réclamé entre autres des
sûrs, comme la poupée Cayla qui, selon l’association de normes et une certification pour garantir la sécurité et la
consommateurs norvégienne, pouvait espionner les enfants. confidentialité des dispositifs IoT.
6
3. Qu’en est-il de la sécurité
de l’IoT ?
La sécurité de l’IoT est un domaine d’expertise extrêmement vaste. Non
seulement parce qu’il y a énormément d’applications différentes, mais
aussi en raison de la complexité de l’IoT. L’application IoT moyenne est
en effet constituée de plusieurs strates qui doivent être sécurisées.
Le modèle de référence IoT de Cisco donne un aperçu de 1. Triangle DIC
l’architecture générale des applications IoT. Une application Le principe de base du triangle DIC est que la sécurité est
IoT est constituée de 7 niveaux : une interaction de 3 composantes : disponibilité, intégrité et
confidentialité. Si l’un de ces aspects n’est pas garanti, on ne
1. Dispositifs physiques et contrôleurs peut pas parler de sécurité adéquate.
« objets » comme des capteurs, appareils et machines
2. Connectivité Disponibilité : veiller à ce que les parties autorisées aient
communication, entre autres, entre les appareils accès aux données et aux systèmes si nécessaire. Par
3. Edge (fog) computing exemple, en prenant des mesures contre les attaques
analyse et transformation de données DDoS−et de rançongiciels.
4. Stockage de données
conversion des données « en mouvement » en données Intégrité : empêcher toute modification non autorisée des
« au repos » données, par exemple pendant le transport. Ceci permet de
5. Abstraction des données garantir leur fiabilité et leur précision.
intégration et filtrage des données pour les applications,
par exemple Confidentialité : la sécurisation de l’accès aux données
6. Application et systèmes par des mots de passe et du cryptage par
logiciels d’ERP, d’analyse et d’intelligence économique, exemple. Seules les personnes autorisées pourront alors les
par exemple consulter.
7. Collaboration et processus
communication entre utilisateurs 2. Cadre de cyber sécurité du NIST
Le cadre de cyber sécurité de l’American National
Toutes ces strates, et l’échange de données entre elles, Institute of Standards and Technology (NIST)
nécessitent des mesures de sécurité. Un stockage sécurisé fournit des orientations pour la traduction en actions
des données, par exemple, nécessite à la fois le bon concrètes. Ce modèle classe les mesures (techniques et
logiciel et le bon matériel, et les applications doivent être organisationnelles) en 5 phases différentes :
authentifiées. Il existe alors une certitude quant à l’identité
de l’utilisateur. Identification : il s’agit notamment d’identifier les principaux
actifs et les risques de sécurité, de tester la sensibilisation à
2 modèles de sécurité la sécurité, de vérifier les vulnérabilités du code d’application
Dans ce chapitre, nous mettons en évidence deux modèles et de recueillir des renseignements sur les menaces.
qui, ensemble, donnent une bonne image générale de ce
qu’est la sécurité de l’IoT : le triangle DIC et le cadre de Protection : entre autres la gestion de l’identité,
cyber sécurité du NIST. Le triangle de l’DIC se concentre l’authentification, le renforcement, le cryptage, les pare-feu
sur l’importance de la sécurité et l’impact d’une mauvaise et la sécurité des données, la maintenance et la réparation,
sécurité. Il est également parfaitement applicable à l’IoT. par exemple, des systèmes de contrôle industriel (SCI), la
Le cadre de sécurité cybernétique du NIST est basé sur formation de sensibilisation et l’établissement, la mise en
5 phases et les mesures de sécurité associées. œuvre et l’essai des politiques de sécurité.
7
Détection : La mise en œuvre de solutions telles que le Pourquoi le triangle DIC ?
Security Information & Event Management (SIEM) pour la Dans le chapitre suivant, nous allons approfondir l’intérêt
surveillance de l’activité du réseau et des applications. Cela de la sécurité dans les 4 domaines d’application. Nous
permet d’identifier très tôt les menaces éventuelles. décrivons par domaine les conséquences possibles d’une
sécurité IoT déficiente. C’est certainement le triangle DIC
Réponse : entre autres, l’analyse et la réaction aux rapports des qui s’y prête le mieux. L’analyse des questions de sécurité
systèmes de détection, le suivi du plan de réaction aux incidents, commence toujours par la disponibilité, l’intégrité et la
l’isolement et l’atténuation des incidents et l’amélioration des confidentialité.
mesures réactives sur la base des leçons apprises.
Le cadre de sécurité cybernétique du NIST est un outil
Récupération : il s’agit notamment de mettre en place les précieux pour définir en détail les mesures de sécurité. Ce
procédures de sauvegarde et d’organiser un lieu de repli où modèle est moins adapté à une vision large des domaines
le travail peut être repris rapidement. d’application. C’est la raison pour laquelle ce livre blanc ne
s’y attardera pas davantage.
En principe, chaque question de sécurité de l’IoT peut
être définie plus en détail à l’aide des modèles ci-dessus. Vous souhaitez obtenir plus d’informations sur le modèle de
Nous pouvons par exemple comparer les 3 composants référence de l’IoT et le cadre de cyber sécurité du NIST ?
de sécurité aux 5 phases et aux 7 strates de sécurité afin Nous abordons ce sujet plus en détail dans notre série
d’obtenir un aperçu de toutes les mesures de sécurité d’articles et nos forums de discussion sur la sécurité de l’IoT.
possibles pour une application IoT spécifique.
Modèles en pratique : surveillance des denrées alimentaires Les autres niveaux du modèle de référence de l’IoT,
Supposons qu’une entreprise utilise des capteurs tels que la connectivité, les applications et le stockage
pour surveiller la qualité des aliments pendant le des données, requièrent également une attention
transport. Elle doit par exemple s’assurer que des particulière. La connexion à la salle de contrôle est-elle
capteurs mesurent en permanence la température sécurisée ? Le firmware des capteurs présente-t-il des
des aliments et transmettent la bonne température. vulnérabilités ? Sans un aperçu de ces niveaux, il est
Les données ne doivent pas non plus tomber entre impossible de réaliser, par exemple, une protection, une
de mauvaises mains. Le triangle DIC doit donc être réaction ou une récupération du réseau IoT comme
en mesure de garantir la qualité alimentaire. Pour ce le souhaiterait le NIST. Et sans avoir mené à bien ces
faire, l’entreprise doit identifier tous les « dispositifs et phases, la disponibilité, l’intégrité et la confidentialité
contrôleurs physiques » (la première couche du modèle de la solution ne peuvent être garanties. En bref, les
de référence de l’IoT), tels que les thermomètres 3 modèles sont étroitement liés entre eux dans la
intelligents ou les emballages. C’est donc la phase pratique.
d’identification du cadre de cyber sécurité du NIST.
8
4.1. Ville intelligente
et environnement
Les villes intelligentes sont des villes ou des régions qui font appel à la
connectivité, à des capteurs, à l’analyse des big data et à d’autres technologies
intelligentes pour améliorer notre mode de vie, nos logements et déplacements,
en s’attaquant par exemple aux problèmes urbains tels que les embouteillages,
la criminalité et les nuisances. En outre, de nombreux projets portent sur la
durabilité, le recyclage, les secours en cas de catastrophe ainsi que la lutte contre
le gaspillage d’énergie et la pollution.
Selon le dernier rapport « Smart City Tracker », il existe quelque gestion des déchets à Arnhem en est un autre exemple. En
250 projets de villes intelligentes dans le monde, répartis dans mai 2017, le Conseil néerlandais pour la protection des don-
178 villes. L’Europe compte le plus grand nombre de projets, nées à caractère personnel (Autoriteit Persoonsgegevens) a
en partie grâce aux efforts de la Commission européenne, qui estimé que ces données sont traitées par le biais de la carte
a créé le Partenariat européen d’innovation pour les villes et de déchets sans que cela soit nécessaire pour la mission de
communautés intelligentes en 2012. Les enquêteurs constatent droit public de la municipalité.
que la technologie (des capteurs) pour les villes intelligentes
devient de plus en plus efficace et moins coûteuse. Intégrité
Les organisations prennent de plus en plus de décisions
De nombreux aspects environnementaux qui sont impor- basées sur des données. En manipulant les données et les
tants pour les villes transcendent leurs frontières. Il s’agit systèmes, les pirates informatiques peuvent indirectement
par exemple d’améliorer la qualité de l’air, de mesurer les influencer la politique (gouvernementale). L’approche
rayons UV et les particules fines. L’environnement est bien directe est également possible : les experts en sécurité de
sûr partout et nécessite une approche coordonnée. Il a donc Verizon ont par exemple pu pirater le système SCADA d’une
été décidé d’étendre ce domaine d’application pour inclure le compagnie des eaux. Ils pouvaient alors modifier toutes
terme « environnement intelligent ». sortes de paramètres. Comme, par exemple, la quantité de
produits chimiques avec laquelle l’eau est traitée.
Quelle est l’importance de la sécurité ?
Disponibilité
Confidentialité Parkings intelligents, sirènes, panneaux solaires, pompes à
Les données sont à la base de la ville intelligente. Mais eaux usées, écluses et stations de pompage, voitures « connec-
quelles données les pouvoirs publics peuvent-ils récolter, et tées » et même des Segways… on n’imagine pas tout ce que
à qui appartiennent-elles ? Les citoyens ? La commune ? Ou des pirates sont capables de neutraliser à distance ! Heureu-
les entreprises qui fournissent cette technologie ? Combien sement, dans la plupart des cas, ce type de failles de sécurité
de temps ces données peuvent-elles être conservées ? Et est découvert par des pirates informatiques sans intention
comment empêcher que des données anonymes ne soient malveillante, et non par des terroristes ou des criminels.
combinées en informations qui constituent une atteinte à
la vie privée ? Des questions intéressantes, auxquelles il n’y Et pourtant, cette évolution a de quoi préoccuper. Les
a pas de réponse univoque. L’évolution est si rapide que la malwares n’arrêtent pas de faire des progrès, par exemple.
législation et la réglementation ne peuvent suivre le rythme. Cela peut véritablement perturber une ville. C’est ainsi que
WannaCry a réussi à stopper des dizaines de feux de signa-
Les questions de ce type sont également d’actualité aux lisation et de radars en Australie.
Pays-Bas. C’est ainsi que la municipalité d’Eindhoven a L’année dernière, les transports publics ont été très perturbés
décidé de ne pas collaborer avec TomTom pour l’installation à San Francisco, après une attaque de rançongiciels sur plus
de feux de signalisation intelligents. Les pourparlers ont de 2 000 ordinateurs. Une attaque aussi massive peut avoir
échoué parce que la société de navigation voulait devenir un impact énorme si des systèmes essentiels, par exemple la
propriétaire des données de trafic collectées. Le système de police, les pompiers et la défense, sont également touchés.
4.2. Entreprise intelligente
Des détaillants aux compagnies aériennes, de plus en plus d’entreprises ont
recours à la technologie IoT pour développer de nouveaux modèles de revenus
et améliorer les produits et services existants, par exemple. La plupart des
applications concernent la collecte de données via des capteurs, pas seulement
durant la production et le transport, mais aussi après la vente. Ces données
d’utilisation constituent un retour d’information utile. Ainsi, l’IoT rapproche les
entreprises numériques du client.
L’agence d’études de marché IDC a recensé les secteurs qui qualité du produit final laisse à désirer, au gaspillage des
ont investi le plus d’argent l’année dernière dans le matériel, les ressources et à la maintenance préventive des machines
logiciels, les services et la connectivité pour l’IoT. réalisée trop tard ou pas du tout.
L’industrie manufacturière mondiale est en tête avec 178 mil-
liards de dollars, suivie par le secteur des transports (78 mil- Disponibilité
liards de dollars) et les compagnies d’énergie et d’eau (69 mil- Dans l’économie numérique, le principe veut que tout est
liards de dollars). IDC a constaté la plus forte croissance chez « toujours en marche ».
les assureurs, les entreprises de consommation, les détaillants Pour servir les clients de manière optimale, les entreprises
et le secteur des soins de santé. doivent être opérationnelles 24 heures sur 24, 7 jours sur 7. L’in-
disponibilité temporaire de systèmes (cyberphysiques) et de
Difficile de se passer de l’IoT. Même une petite entreprise utilise données peut mécontenter les clients et entraîner des pertes
différents appareils intelligents, comme des imprimantes, des de ventes. Les machines intelligentes, les systèmes de contrôle
machines à expresso et des caméras de vidéosurveillance. Elles industriel, les systèmes d’automatisation des bâtiments et les
peuvent être détournées par des cyber criminels pour com- autres applications de l’IoT doivent toujours être disponibles.
mettre des attaques DDoS. Ou peut-être qu’un bail « connecté » Mais des dispositifs IoT mal sécurisés peuvent également nuire
Tesla s’inscrit parfaitement dans la stratégie de durabilité. indirectement à la disponibilité d’autres systèmes.
Quelle est l’importance de la sécurité ? Par exemple, le botnet Mirai et ses variantes servent à mener
de puissantes attaques DDoS. Le fournisseur d’hébergement
Intégrité OVH, le fournisseur de services DNS Dyn et Deutsche Telekom,
L’intégrité des informations est encore plus importante dans entre autres, ont déjà été partiellement interrompus un jour.
les applications IoT que dans les systèmes informatiques. Ce n’est pas pour rien que le Centre national de cyber sécurité
Dans ces derniers systèmes, le flux physique de biens et de accorde une grande attention à la menace posée par les botnets
services est en principe complètement déconnecté du flux IoT, qui consistent en des dizaines de milliers de dispositifs IoT
virtuel d’informations et du flux financier. Une entreprise doit mal sécurisés tels que des routeurs et des webcams, dans l’éva-
donc établir ses propres connexions entre les flux par le biais luation de la cyber sécurité aux Pays-Bas en 2017.
de mécanismes et de procédures de contrôle. Par exemple,
pour le comptage manuel des stocks physiques. Dans les Confidentialité
applications IoT, ces connexions sont disposées de manière à En vertu de la nouvelle législation européenne sur la
ce que les flux de courant soient inextricablement liés. protection de la vie privée, la collecte et la conservation de
données sensibles sont soumises à des règles strictes. Le
C’est ainsi que la manipulation des données dans les traitement des données à caractère personnel, en particulier,
applications IoT peut avoir d’importantes conséquences exige une grande prudence. Une sécurité défaillante des
pour l’exploitation. Une localisation et des données sur les dispositifs IoT tels que les caméras vidéo peut entraîner de
carburants incorrectes peuvent, par exemple, entraîner des graves violations de la vie privée, des poursuites judiciaires
perturbations des processus logistiques et des problèmes de et des amendes. Les applications IoT traitent souvent aussi
livraison, tandis que des données incorrectes des capteurs des informations sensibles sur le plan de la concurrence qui
dans les usines peuvent compromettre la productivité et la ne peuvent pas être divulguées.
sécurité. Pensez aux erreurs de production qui font que la
104.3. Maison intelligente
La maison intelligente est un terme courant désignant une maison ou
un autre bâtiment dans lequel les appareils électroménagers, l’éclairage,
le chauffage, la climatisation, les systèmes de sécurité, les télévisions
intelligentes et autres systèmes domotiques peuvent communiquer entre
eux, par exemple via le WiFi ou des technologies spécialisées telles que
Zigbee et Z-Wave. Les fonctions importantes d’une maison intelligente sont la
surveillance et le contrôle à distance ainsi que l’automatisation des processus.
La maison intelligente est en plein essor. Selon le bureau Caméras de vidéosurveillance, poupées intelligentes, haut-
d’études Berg Insights, ce marché est le plus développé parleurs intelligents, tout ceci peut servir pour l’espionnage.
d’Amérique du Nord. En 2016, on y comptait près de 22 mil- Sans sécurité adéquate, notre environnement privé n’est plus
lions de maisons intelligentes pouvant être contrôlées via privé. Si les mêmes appareils sont utilisés dans un cadre profes-
un portail ou une application pour smartphone. En Europe, sionnel, les secrets d’affaires risquent d’être accessibles à tous.
ce chiffre était de 8,5 millions. Les spécialistes prévoient une
%
forte croissance : en 2021, plus de 30 des ménages euro-
péens disposent d’une maison intelligente. Cela représente
Disponibilité et intégrité
Il est impossible de se passer de bien des appareils dans la
plus de 80 millions de maisons intelligentes. maison intelligente au quotidien. Une indisponibilité tem-
poraire n’est pas seulement gênante, elle est aussi risquée.
On note notamment la popularité croissante des assistants Un criminel suffisamment expérimenté d’un point de vue
virtuels qui permettent de fonctionner avec des commandes technique peut par exemple désactiver l’alarme antivol et les
vocales. Amazon travaille ainsi sur la plateforme Echo, qui caméras de sécurité d’un domicile ou d’une entreprise. Un
est contrôlée par Alexa. Google (Google Home), Apple rançongiciel a ainsi été développé pour un thermostat intel-
(HomeKit et HomePod) et Microsoft (Cortana) investissent ligent. Il est possible que des appareils coûteux tels que des
également beaucoup dans la maison intelligente. réfrigérateurs intelligents et des home cinéma soient bientôt
pris en otage. Et que se passe-t-il si le détecteur de fumée
Quelle est l’importance de la sécurité ? intelligent est éteint la nuit ?
Confidentialité Il n’est pas improbable non plus que des fournisseurs puissent
Les appareils de la maison intelligente collectent de grandes profiter d’une position de force. Imaginez que votre entreprise
quantités de données sensibles en termes de vie privée, en ait acquis un portail de garage ultra moderne à actionner
particulier sur les modèles de comportement. Par ailleurs, via une application. Il marche d’abord très bien, mais après
ils sont souvent faciles à pirater. Citons à titre d’exemple le quelques jours, des problèmes techniques s’annoncent. Vous
thermostat intelligent Nest. Un groupe de programmeurs a publiez un avis défavorable sur Amazon, et le fournisseur le lit.
démarré le thermostat avec une clé USB munie d’un cœur Il bloque alors votre ID d’entretien, ce qui est un DOS (Denial
intégré et a fait envoyer les données à leurs propres serveurs of Service), un déni de service permanent.
sans se faire remarquer. Ils pouvaient ainsi voir, entre autres, Ce scénario est exagéré, mais le fait est que le contrôle de la
quand les occupants étaient absents. disponibilité incombe à une autre partie.
Les pirates informatiques ont également pu accéder aux
réseaux WiFi et aux mots de passe. Dans la maison intelligente, l’intégrité des données et des
systèmes est au moins aussi importante que leur disponibi-
De telles vulnérabilités n’intéressent pas seulement les cambrio- lité. Les chiffres que relève votre compteur électrique intel-
leurs, mais aussi les pouvoirs publics. C’est ainsi que WikiLeaks ligent doivent être exacts. Et il serait par exemple ennuyeux
a révélé que la CIA pouvait mettre sur écoute les smart-TV de que les systèmes de chauffage soient manipulés à l’occasion
Samsung. Un virus veille à ce que la télévision (et donc aussi d’une querelle de voisinage, par exemple, afin de se renvoyer
le microphone) reste active lorsque l’utilisateur appuie sur le mutuellement des problèmes de coûts.
bouton d’alimentation, alors que l’appareil semble être éteint.
114.4. Objets connectés
Les objets connectés incluent les montres intelligentes, les traqueurs de
fitness, les lunettes AR et VR et d’autres technologies que nous portons sur
nous. Mais les appareils portables tels que les smartphones, les tablettes, les
lecteurs électroniques et les appareils photo numériques en font également
partie. D’innombrables dispositifs médicaux font également partie de l’Internet
des objets : des stimulateurs cardiaques internes et des pompes à insuline aux
inhalateurs, aux pansements intelligents et aux appareils auditifs.
Les chiffres de Statista montrent que deux tiers des l’année dernière, il est apparu que cinq applications de santé
Néerlandais utilisent trois appareils « connectés » ou plus. populaires transmettent des données personnelles à des
En outre, le nombre d’appareils privés par personne est tou- tiers qui n’ont rien à voir avec l’application. Les conditions
jours en augmentation dans le monde entier. Cisco prévoit relatives à la protection de la vie privée étaient souvent
par exemple que le nombre d’appareils personnels passera formulées en termes vagues et pouvaient même parfois être
de 2,2 appareils (2015) par habitant à 3,4 appareils en 2020. modifiées sans en informer l’utilisateur.
Aux Pays-Bas, la croissance ne viendra probablement pas
des smartphones et des tablettes. Selon le bureau d’études La confidentialité revêt une importance particulière lorsqu’il
de marché GfK, ce marché est complètement saturé. s’agit de données relatives à la santé. Il ne s’agit pas seulement
de données médicales concrètes comme les dossiers médi-
De nouveaux objets connectés font leur apparition quasiment caux, mais aussi, par exemple, de données sur le tabagisme et
tous les jours. Prenez, par exemple, les bijoux intelligents qui la consommation d’alcool, la tension artérielle ou le rythme car-
communiquent avec un smartphone ou les vêtements qui diaque. Combinées, ces données peuvent être utilisées pour
surveillent le rythme cardiaque et le niveau de stress de la tirer des conclusions (erronées) sur la santé d’une personne.
personne qui les porte. Le dénominateur commun de toutes Ce n’est pas pour rien que le traitement des données de santé
ces applications est qu’elles sont mobiles et collectent souvent est soumis à des règles strictes en vertu de la nouvelle législa-
des données très personnelles ou sensibles sur l’utilisateur. tion européenne sur la protection de la vie privée.
Quelle est l’importance de la sécurité ? Disponibilité
Les consommateurs et les entreprises sont de plus en plus
Confidentialité dépendants des objets connectés. Vos employés les utilisent
Pour les objets connectés, la sécurité consiste principalement à tous les jours, que ce soit à titre professionnel ou privé,
protéger la vie privée de l’utilisateur. Les risques varient selon pour rechercher des informations, surfer sur le net, faire
les appareils, mais la plus grande mine d’or pour les pirates des opérations bancaires en ligne et pour communiquer.
informatiques est probablement le smartphone. Appels, coor- Toutefois, la plupart des objets connectés ne posent pas im-
données des clients, photos, vidéos, informations de localisa- médiatement un gros problème s’ils ne sont pas disponibles
tion, recherche et historique du navigateur : ce ne sont là que pendant un certain temps. Ce qui n’a rien à voir avec des
quelques-unes des informations sensibles sur les smartphones appareils médicaux comme les pacemakers et les pompes à
(professionnels) qui ne sont pas destinées à être vues par insuline. Si un pirate informatique arrive à les déconnecter à
d’autres personnes. Qui plus est, en cas de vol ou de perte d’un distance ou à les contaminer avec un malware, cela présente
appareil, il est très vite question d’une violation de données. aussitôt un risque de santé.
D’autres objets connectés présentent également des Intégrité
risques en termes de protection de la vie privée. Des Pour les objets connectés, ce n’est pas tant l’intégrité qui
chercheurs ont par exemple découvert que les pirates compte. Ce n’est que dans des cas très spécifiques qu’il peut
informatiques peuvent utiliser les capteurs de mouvement être utile pour les pirates de manipuler des données por-
des montres intelligentes pour récupérer des codes PIN tables, pour tromper les gens ou perturber des processus
en analysant les mouvements de la main et au début de commerciaux, par exemple.
125. Lignes directrices
importantes tirées de
la pratique
Quel que soit le domaine d’usage, l’application IoT moyenne peut être affectée
de nombreuses façons. Chaque partie et chaque niveau du modèle de référence
de l’IoT présente ses propres vulnérabilités. Les pirates peuvent par exemple
s’en prendre au logiciel/firmware, à l’interface web ou physique, à la mémoire, au
réseau ou à l’application mobile associée. La liste des meilleures lignes directrices
issues de la pratique est donc interminable, trop longue pour un seul livre blanc.
L’Open Web Application Security Project (OWASP), une • F ixez un nombre maximum de tentatives de connexion
source renommée et objective sur la sécurité de l’IoT, a échouées contre les attaques par force brute
dressé une liste des principaux domaines d’attention et de • Vérifiez si le code de l’application web est protégé contre
conseils associés. L’avantage de ces conseils est qu’ils sont les attaques connues, par exemple l’injection SQL et les
applicables dans la pratique pour votre organisation. Vous pièces jointes XSS
trouverez ci-dessous les meilleures pratiques et les plus
pertinentes du Top 10 de l’OWASP. Pour les fabricants et développeurs :
• Lors du développement, veillez à bien sécuriser les
Pour les utilisateurs finaux (entreprises comme services dématérialisés utilisés.
consommateurs) : • Veillez à ce que la sécurité des applications et des
• La plupart des appareils IoT peuvent être commandés et appareils puisse être configurée, par exemple en ce qui
configurés via une interface Web. N’utilisez jamais le mot concerne le cryptage et les mots de passe.
de passe standard, mais modifiez-le après l’installation. • Pensez à la sécurité physique des appareils. Faites en
• Appliquez une politique stricte en matière de mots de sorte que les appareils aient le moins de ports d’accès
passe. Veillez à modifier régulièrement vos mots de passe, possibles et limitez les fonctions accessibles par USB.
et imposez l’utilisation de mots de passe sûrs. Appliquez • Mettez régulièrement à jour les logiciels et les
une authentification à deux facteurs lorsque cela est microprogrammes pour qu’ils résistent aux vulnérabilités
possible zeroday, aux logiciels malveillants et aux autres menaces.
• Stockez les données de connexion en toute sécurité et Lors du développement, tenez compte des mises à jour.
évitez qu’elles ne soient accessibles via le réseau • Accordez encore plus d’attention à la sécurité des
• Créez des profils d’utilisateurs pour restreindre l’accès et applications mobiles. Par des mots de passe sûrs et un
les droits des utilisateurs mécanisme de verrouillage des comptes par exemple
• Sécurisez les applications IoT contre les logiciels • Désactivez toujours les parties et les fonctions non
malveillants. Utilisez des systèmes de détection pour utilisées (renforcement) pour limiter la zone d’attaque.
détecter les activités de réseau suspectes et les attaques Intégrez la création de fichiers journaux et d’audit
potentielles (DDoS). Fermez les ports du réseau lorsqu’ils • Distribuez des mises à jour cryptées et authentifiées et
ne sont pas utilisés veillez à ce que la validation ait lieu avant l’installation
• Ne stockez pas de données (éventuellement sensibles • Veillez à ce que les mises à jour de sécurité et les
en termes de vie privée) si ce n’est pas nécessaire. notifications d’incidents soient envoyées sous forme de
Anonymisez les données autant que possible notification à l’utilisateur final
• Utilisez les dernières techniques de cryptage, par
exemple pour la communication entre les « objets » et
l’Internet. Cryptez toutes les données, qu’elles soient « en
mouvement » ou « au repos ».
• Ne reportez pas les mises à jour, installez-les toujours
immédiatement. Vérifiez périodiquement que tous les
appareils et applications sont mis à jour
136. Conclusions
L’Internet des objets est en plein essor. Aujourd’hui déjà, nous pouvons
difficilement imaginer un monde sans objets connectés, alors que nous n’en
sommes qu’aux débuts de l’ère de l’IoT… À certains égards, l’évolution va
peut-être même trop vite. Dans le travail comme dans la vie privée, nous
nous entourons d’une technologie dont la sécurité n’est pas toujours au
point, loin de là.
On comprend que ce soient surtout les avantages de l’IoT La sécurité n’est pas prioritaire.
qui sont mis en avant, comme leur facilité d’utilisation par Qui assume en fait la responsabilité de la sécurité de l’IoT ?
exemple, de nouvelles opportunités commerciales et un Les fabricants des dispositifs IoT et les développeurs
environnement plus écologique. des firmwares ? Les pouvoirs publics doivent-ils prendre
l’initiative dans ce domaine ? La sécurité relève-t-elle
finalement surtout de la responsabilité même des
« La croissance exponentielle utilisateurs ? Les consommateurs et les entreprises ne
de l’IoT a un côté sombre : doivent-ils pas équiper eux-mêmes leurs ordinateurs
portables de logiciels antivirus et verrouiller eux-mêmes
chaque domaine d’application leurs voitures ?
présente de sérieux risques Dans le dernier chapitre, nous expliquons comment
de sécurité. » KPN envisage ces questions. Nous indiquons également
comment KPN contribue à la promotion de la sécurité de
l’IoT et quels sont les services qui y sont liés.
Beaucoup d’applications sont ainsi faciles à pirater. La
fiabilité, l’intégrité et la disponibilité de nos données et
systèmes sont ainsi compromises.
La sécurité n’est pas prioritaire.
Mais c’est un peu trop simple d’accuser les fournisseurs.
La réalité est qu’ils ne sont pas incités à garantir la sécurité
de base des produits IoT. Une bonne sécurité coûte du
temps et de l’argent, ce qui entraîne une augmentation
des prix. Mais les consommateurs choisissent surtout un
objet en fonction de son prix et de ses fonctionnalités. Ils
ne s’interrogent pas sur la sécurité et ne sont généralement
pas disposés à en payer le prix.
Une sécurité défaillante des IoT relève donc souvent de
considérations professionnelles, alors qu’il est aussi question
d’un problème moral. Les fabricants eux-mêmes peuvent
omettre les mesures de sécurité les plus basiques, ce ne sont
pas eux qui sont concernés. Ce sont les utilisateurs qui en
subiront le plus souvent les conséquences, avec la violation
de leurs données à caractère personnel. D’autres peuvent
être concernés aussi, comme nous avons pu le voir avec le
botnet Mirai. Les ennuis sont pour les autres, et certainement
pas pour le fabricant.
147. Notre vision : approche
globale de la sécurité de l’IoT
Le déploiement des applications IoT n’apporte pas Enfin, KPN participe activement à la sensibilisation de
seulement de nouvelles possibilités, mais aussi des risques la société à la cybersécurité avec des initiatives telles
pour la sécurité et la vie privée. Des incidents récents qu’Alert Online et BoefProof.
soulignent l’intérêt croissant de la sécurité de l’IoT. Il
n’existe pas de solution claire pour résoudre les problèmes
de sécurité de l’IoT. KPN croit à une approche globale via
« L’IoT se compose de milliers
l’humain, les processus et la technique : d’applications aux exigences
• Humain de sécurité souvent totalement
Veillez à ce que votre personnel, vos clients et utilisateurs
finaux soient suffisamment attentifs aux questions de
différentes. »
sécurité. Proposez par exemple des formations sur les
principales pratiques d’excellence dans le domaine de la Une solution toujours adaptée
sécurité de l’IoT et sur les risques de négligences. La protection de la confidentialité des communications est
• Processus le fondement de notre entreprise depuis plus d’un siècle.
Contrôlez régulièrement cette sensibilisation à la sécurité Outre vos infrastructures TIC, KPN sécurise également
et l’adéquation des mesures techniques. Identifiez par vos données (sensibles en termes de vie privée), votre
exemple les points faibles de votre sécurité à l’aide d’un propriété intellectuelle, vos données à caractère personnel
test de pénétration ou d’une évaluation de la vulnérabilité et votre réputation. Nos clients ont toujours l’assurance que
et testez les sauvegardes de vos données. le respect de la vie privée et la sécurité sont notre priorité
• Technique absolue. Il en va bien sûr de même dans le cadre de l’IoT.
Prenez des mesures techniques, telles que la mise en
place d’une solution anti-DDoS, d’un pare-feu de nouvelle KPN dispose d’un réseau IoT national. C’est, avec DearBytes,
génération pour analyser votre réseau et d’un SIEM pour l’un des plus grands fournisseurs de sécurité gérée aux
détecter les modèles anormaux. Pays-Bas. KPN offre toujours une solution appropriée
pour les risques pertinents tels que les attaques DDoS
Hormis les mesures susmentionnées, KPN estime que les et les effractions sur les réseaux d’entreprise et pour la
fournisseurs et les pouvoirs publics ont un rôle majeur à jouer continuité des processus commerciaux. Enfin, KPN est un
dans l’élaboration de normes de sécurité concrètes pour les leader dans le domaine des certifications. Avec nos services
environnements IoT. Les entreprises ne sont actuellement pas d’authentification, nous fournissons des solutions pour un
incitées à le faire de leur propre chef. Il est donc nécessaire accès sécurisé aux sites web, aux actifs et aux processus.
d’utiliser des réglementations pour obliger les entreprises à
accorder une plus grande attention à la sécurité lors de la
conception des services qu’elles fournissent. Pour plus d’informations, rendez-vous sur kpn.com/iot
Centre national de cyber test
KPN prend l’initiative. KPN ne se contente pas de tester
activement tous les équipements utilisés dans son propre
réseau pour détecter les vulnérabilités, nous avons
également mis en place le Centre national de cyber test en
collaboration avec le TNO et la municipalité de La Haye. Ce
centre de test se concentre sur les cyber menaces actuelles
autour de la ville intelligente et de l’Internet des objets.
KPN est également co-fondateur de l’IoT Academy et de
Cyber Central. L’IoT Academy offre aux entreprises une
plate-forme pour expérimenter les applications de l’IoT. Cyber
Central, une initiative de KPN, Cisco et McAfee, apporte une
réponse pratique aux questions de cyber sécurité.
15Découvrez toutes les nouvelles
possibilités avec KPN
Pour plus d’informations, veuillez contacter
votre gestionnaire de compte KPN ou
envoyer un e-mail à iot@kpn.com.
AD-18902/10-17/KRE
kpn.com/iotVous pouvez aussi lire
