Ce vendredi 10 mars, le département Informatique et l’association B2-20 organisaient la deuxième édition de leur journée IoT, consacrée aux objets connectés. Le thème central était celui de la sécurité, sous l’angle technique et sous l’angle juridique.
L’Internet des objets (IoT) est aujourd’hui partout dans notre quotidien : les ventes de ces objets ont augmenté de 25% en un an (102 millions en 2016), et on prévoit à l’horizon 2020 entre 50 et 200 milliards d’objets connectés dans le monde.
Ce phénomène s’accompagne de défis techniques, mais aussi d’enjeux juridiques : des fabricants d’objets connectés sont d’ores et déjà poursuivis aux Etats-Unis pour mise en danger de la sécurité des consommateurs, et défaut de confidentialité des données .
Le thème central de notre journée « IoT à l’IUT » était celui de la sécurité, abordé sous différents angles par les intervenants. A la suite de ces interventions, nous leur avons posé quelques questions.
Tout d’abord Edouard Camoin, responsable de la Sécurité des Systèmes d’Information chez OUTSCALE et ancien de l’IUT Paris Descartes, a cherché à situer le thème de la sécurité dans la chronologie de l’histoire de l’Internet, par son intervention «Il faut sauver Internet: une petite histoire de l’IoT ».
– Peut-on dater l’apparition des objets connectés?
Edouard Camoin : Il est convenu de dire que l’IoT tels qu’on le connait est apparu lors du lancement du tout premier iPhone en 2007 par Apple. Steve Jobs présente à ce moment-là une vraie révolution pour les consommateurs. Il y a eu plusieurs tentatives avant, mais qui se sont soldées par des échecs.
– Pourquoi les risques sont-ils plus élevés aujourd’hui qu’il y a quelques années?
EC : Le « time-to-market » très court imposé sur ce type de nouvelles technologies fait que la sécurité est bien souvent mise de côté de façon à être le plus compétitif possible. Et c’est une erreur, les utilisateurs ainsi que les constructeurs ont fait baisser le niveau de sécurité et finalement on est revenu en arrière par rapport à l’expérience que l’on a sur des technologies du passé. Pourtant ça ne nécessiterait pas beaucoup d’effort pour être à un niveau de sécurité acceptable.
– Quels sont les principaux risques pour les utilisateurs?
EC : Les risques basiques pour les utilisateurs sont en général le vol de données, les accès aux comptes bancaires, l’usurpation d’identité ou les portes dérobées. On pourrait penser que cela n’impacte que l’utilisateur, mais très rapidement les pirates se servent du périphérique de l’utilisateur comme rebond pour attaquer d’autres systèmes.
– Comment se prémunir des attaques?
EC : Il est nécessaire que les constructeurs et les utilisateurs se responsabilisent. Les utilisateurs doivent faire en sorte de ne pas abaisser la sécurité de leurs appareils. Typiquement en changeant leurs mots de passes, en évitant de “rooter” leurs téléphones et en n’hésitant pas utiliser des firewalls pour protéger les périphériques. Et les constructeurs doivent absolument mettre en oeuvre tous les mécanismes pour se prémunir des attaques que ce soit en utilisant du chiffrement dans leurs sytèmes, des mécanismes d’authentification forte ou encore en s’appuyant sur des bonnes pratiques de sécurité tels que l’OWASP, le SANS, ou encore en utilisant des normes (ISO27001).
La deuxième présentation du jour nous plongeait dans le vif du sujet : “Internet of Things et la sécurité”. Jordan Afonso, consultant IoT chez OCTO Technology, nous a présenté les principales failles de sécurité dans le domaine de l’IoT :
Jordan Afonso : On peut citer l’authentification qui présente des failles énormes. L’authentification des utilisateurs est souvent faite avec des identifiants et mots de passe par défaut ou trop simples. Cela ouvre une brèche pour les robots sur le net qui parcourent en moins de 24h la totalité des adresses IPv4 du monde et tentent de s’y connecter avec des identifiants et mots de passe simples (admin, root, 1234, qwerty, …). Ils accèdent donc aux données des devices IoT mais peuvent aussi en prendre le contrôle pour réaliser des attaques de grande ampleur sur d’autres sites.
Un autre souci souvent rencontré concerne le chiffrage des données. Il est souvent négligé face aux contraintes des objets connectés à faible puissance de calcul et faible taille de stockage.
– Est-ce que des solutions existent ?
JA : Il suffirait par exemple d’imposer de changer les mots de passe par défaut ou trop simples sous peine de ne pas pouvoir utiliser le device en question. Pour le chiffrage il existe des solutions comme les composants électroniques dédiés à ces opérations ou les algorithmes reposants sur les courbes elliptiques qui demandent moins de puissance de calcul et qui sont plus robustes que les standards actuels.
– Y a-t-il des raisons de rester optimiste à ce sujet?
JA : Il y a une prise de conscience générale sur l’importance de la sécurité dans ce domaine. De nombreux acteurs travaillent sur de nouvelles normes et standardisations adaptées à l’écosystème IoT. Il faut donc être patient et tester les solutions d’ores et déjà proposées pour tenter de les améliorer communément. Les études prouvent que les organisations exploitant déjà des données avec l’IoT vont continuer leurs investissements dans les 12 prochains mois. La cyber sécurité reste cependant le frein principal à l’émergences de nouveaux usages et une adoption totale de ces nouvelles technologies.
Pour clôturer ce panorama sur la sécurité des objets connectés, les aspects juridiques nous sont présentés par Claire Clémenceau, juriste spécialisée en propriété intellectuelle et nouvelles technologies au sein de l’APP (Agence de Protection des Programmes) :
– Les objets connectés collectent des données qui peuvent être utiles aux entreprises : quelle est la responsabilité de l’entreprise qui collecte ces données?
Claire Clémenceau : Il existe une réglementation spécifique concernant la collecte des données, lorsque ces dernières sont considérées comme personnelles c’est-à-dire susceptibles de permettre l’identification d’une personne. Il est donc important pour une entreprise d’avoir conscience qu’elle n’est pas libre de récolter des données comme elle le souhaite. Une déclaration est généralement obligatoire auprès de la CNIL (Commission Nationale Informatique et Liberté). Il est donc conseillé de manière générale à toute entreprise collectant des données par le biais d’objets connectés de se renseigner auprès de la CNIL sur ce qu’elle a le droit de faire ou non.
– Quels conseils donner aux étudiants qui seraient amenés à concevoir des objets connectés et les logiciels associés ?
CC : Les objets connectés et les logiciels associés sont protégeables de manière générale par les droits de propriété intellectuelle. Lorsque l’on a un projet il convient donc de ne pas se jeter tête baissée dans une communication de masse et se renseigner en amont sur ses droits. Au-delà du dépôt de marques auprès de l’INPI, il peut être important de déposer notamment un cahier des charges ou des codes sources auprès d’un tiers tel que l’APP afin de donner une date certaine à sa création et être capable, en cas de litige, de prouver que c’est bien vous le titulaire de droits. Au plus ces démarches sont faites tôt dans le projet, au plus la protection sera importante.
Nous avons enfin demandé à nos intervenants quel message ils aimeraient faire passer aux étudiants et au grand public :
« J’invite les utilisateurs à faire preuve de sens critique face aux nouvelles technologies. L’innovation est quelque chose d’important qui permet à tout le monde d’avancer, mais il ne faut pas que ce soit fait n’importe comment. Les utilisateurs doivent comprendre ce qu’ils utilisent et savoir dire non aux usages qui les mettent en danger. Il y a beaucoup d’associations qui voient le jour en France et dans le monde afin de mieux comprendre les besoins et d’apporter des réponses pour tous ces produits soient meilleurs. Les contenus sont en général libres et peuvent permettre d’obtenir ce genre de connaissances. L’association Hackerzvoice est un bon exemple de ce type d’association. »
Edouard Camoin
« Le manque de sécurité dans le domaine de l’IoT n’est pas une fatalité. Ce n’est qu’une question de bonnes pratiques à suivre et une discipline à s’imposer. Ce focus est crucial sur les projets IoT qui se multiplient sous peine de voir s’éteindre un secteur prometteur dont les applications pourraient changer nos méthodes de vie et de travail. »
Jordan Afonso
« Il existe des organismes tels que la CNIL, L’INPI ou l’APP qui sont susceptibles d’apporter de nombreuses informations sur ce qu’on le droit de faire ou non et ce qui est conseillé en fonction de chaque situation. Lorsque l’on a un projet à mener, des questions juridiques se posent nécessairement, et il peut être intéressant de contacter ces organismes pour essayer d’avoir des débuts de réponses. L’aspect juridique est trop souvent oublié dans de nombreux projets concernant les nouvelles technologies, il est donc important de ne pas le délaisser complètement. »
Claire Clémenceau