Les attaques sur des dispositifs IoT auraient été multipliées par 9 entre le premier semestre 2018 et le premier semestre 2019 en passant de 12 millions à 105 millions, selon le cabinet Juniper Research. Afin de mieux comprendre les enjeux et les risques de cyberattaques pour les entreprises utilisant des objets connectés, nous sommes allés à la rencontre d’Hatem Oueslati, co-fondateur de la société IoTerop, spécialisée dans la cybersécurité des objets connectés. Nous allons voir avec lui, les enjeux, les bonnes pratiques et les avancées technologiques liées à la cybersécurité dans l’IoT.
IoTerop, entreprise experte en cybersécurité des objets connectés
ELA INNOVATION : Monsieur OUESLATI, pouvez-vous en dire plus sur IoTerop ? Et sur l’OMA ?
Hatem Oueslati : « IoTerop basée à Montpellier, a été créée en 2016 par trois anciens d’Intel. Ses logiciels révolutionnent l’Internet des Objets en mettant à disposition des appareils les moins couteux, une gestion à distance puissante, sûre et fiable. IoTerop pérennise ainsi le déploiement de millions d’objets connectés en demandant très peu de ressources matérielles et énergétiques. Ces logiciels sont fondés sur un standard mondial Lightweight M2M 1.1, dont IoTerop est un acteur majeur tant dans la définition des spécifications, que dans son implémentation.
En effet, IoTerop a rejoint récemment le comité directeur de l’organisme international de Standardisation OMA SpecWorks (https://omaspecworks.org), qui définit les Standards de Sécurité et de Gestion à Distance pour l’Internet des Objets. Le comité directeur OMA SpecWorks est composé d’IoTerop, AT&T, Ericsson, T-Mobile, ARM, Itron et Qualcomm. L’OMA pousse particulièrement à l’adoption de Standards Ouverts tels que, OMA Lightweight M2M, dans l’industrie, conçu spécifiquement pour contrecarrer le piratage des objets connectés et offrir la possibilité de gérer à distance, le déploiement massifs d’appareils connectés. »
Impacts et risques liés à la cybersécurité des objets connectés pour les entreprises
ELA : Quels sont les impacts/risques pour les entreprises utilisant des objets connectés ?
Hatem Oueslati : « La sécurité des objets connectés est un challenge monumental. Une sécurité défaillante sur un appareil connecté peut avoir des conséquences graves. En effet, outre la fuite de données personnelles, l’attaque d’un objet connecté peut servir à un piratage à bien plus grande échelle en étant simplement une porte d’entrée donnant accès à un réseau de plusieurs millions d’autres objets. En 2016, la plus grande attaque DDoS (Denial of Service) a été lancée sur les fournisseurs de services OVH et Dyn utilisant un botnet IoT. L’accès à une grande portion d’Internet dont Twitter, The Gardian, Netflix, Reddit and CNN est ainsi tombé. Ce botnet IoT a été rendu possible au travers l’utilisation d’un programme malveillant appelé Mirai. Une fois infecté par Mirai, les ordinateurs recherchaient sur Internet des appareils IoT vulnérables (principalement des caméras et lecteurs DVR) pour ensuite les infecter à leur tour et les utiliser pour attaquer les sites ciblés.
Nous avons le regret de constater le peu, voire, l’absence de sécurité sur les solutions d’objets connectés actuellement déployées. Dans certains cas les données sont envoyées en clair et peuvent donc être interceptées, falsifiées ou détournées très facilement par un tiers. Les systèmes connectés et leurs données doivent être sécurisés de bout en bout en utilisant des mécanismes robustes, fiables et mis à jour régulièrement. »
Bonnes pratiques pour prévenir les problématiques de sécurité
ELA : Quelles sont les bonnes pratiques pour se protéger et prévenir les problèmes de cybersécurité ?
Hatem Oueslati : « La sécurité, la collecte et l’analyse de données deviennent des enjeux fondamentaux dans un contexte de la montée en puissance de l’IIoT (Internet des objets industriels). Il faut que les industriels ajoutent des éléments de sécurisation dans leurs objets connectés au moment de leur conception. Il est primordial que ces éléments de sécurisation s’appuient sur des Standards internationaux pour maintenir l’ouverture et l’interopérabilité de l’ensemble de la solution et de sa chaine de valeur. Il est également important d’utiliser un mécanisme de sécurisation adapté à la nature de l’objet connecté et de l’environnement dans lequel il évolue. En effet, on ne sécurise pas un objet connecté comme on sécurise un PC, nous devons prendre en compte ses contraintes en termes de puissance de calcul, de mémoire, de disponibilité énergétique et d’occupation de la bande passante réseau. Ces éléments de sécurité doivent pouvoir évoluer au fil du cycle de vie de l’appareil. De nouvelles vulnérabilités seront évidemment trouvées après leur déploiement, il faut donc que les industriels prévoient des mécanismes de mise à jour logicielle à la conception de leurs objets de manière à appliquer des correctifs de sécurité au fil du temps.
D’autre part, il faut dès le départ penser à une sécurité dynamique et non statique de l’objet connecté en s’appuyant sur des logiques permettant par exemple de changer les clés de sécurité d’un appareil si celles-ont été compromises, de révoquer un appareil si celui a été volé, etc. Le déploiement massif des objets connectés industriels étant relativement recent, encore peu d’industriels appliquent ces méthodes et implémentent les bonnes solutions, pourtant essentielles au déploiement massif d’objets connectés. Néanmoins, cela fait partie des sujets de recherche et développement de plusieurs d’entre eux. »
Quels choix technologiques pour sécuriser les objets connectés ?
ELA : Quelles sont, d’après vous, les technologies de sécurité des objets connectés les plus préconisées ?
Hatem Oueslati : « Les Standards de Sécurité, constituent un enjeu important et, il y a encore aujourd’hui une méconnaissance de ces Standards. Pourtant, leur adoption est une condition sine qua none de l’émergence des objets connectés en grands volumes. Il faut que les industriels adoptent des Standards ouverts de Sécurité qui leur permettent d’assurer la sécurité des objets connectés de bout en bout, notamment en termes d’authentification et de chiffrement des communications.
IoTerop a pour ambition de sécuriser et gérer à distance des milliards d’objets connectés en s’appuyant sur des standards édictés par des consortiums de standardisation internationaux, principalement OMA (Open Mobile Alliance) qui se trouve derrière le protocole LightWeight M2M, et IETF (Internet Engineering Task Force) qui élabore et promeut des standards Internet, en particulier les standards qui composent la suite de protocoles Internet (TCP/IP). Ce sont les organismes de standardisation internationaux les plus performants de l’industrie. Nous siégeons dans ces organismes de standardisation, et à ce titre, nous sommes forces de propositions dans la définition de ces standards.
Les Standards de l’IETF, DTLS, TLS et dernièrement OSCORE permettent de gérer une authentification et un chiffrement des communications de manière efficace et adaptée dans les objets connectés. Avec un petit bémol pour TLS (sur TCP) dont la lourdeur est pénalisante, notamment sur des réseaux contraints comme NBIoT. Dans ce dernier cas, on privilégiera DTLS (sur UDP) ou bien OSCORE qui peut être une alternative très intéressante notamment pour les réseaux non-IP, parfaitement adapté au LPWAN. Il faut que cette Sécurité soit conçue de manière dynamique, c’est-à-dire que les mises à jour ou les changements de clés de chiffrement puissent s’effectuer à distance. C’est l’intérêt des couches standardisées COAP et LwM2M, qui vont permettent aux objets connectés d’intégrer des fonctionnalités de gestion standardisées telles que le bootstrap ou le provisioning de paramètres, configurations et autres clés de sécurité (auto-configuration automatiques et/ou reconfiguration de certains paramètres, configurations et clés de sécurité de manière dynamique au premier démarrage de l’appareil).
A mesure que nous découvrirons des vulnérabilités de sécurité, il faudra adapter les logiciels des appareils afin d’éradiquer les piratages. C’est justement ce que permet d’effectuer le LwM2M, une gestion de bout en bout, très efficace des mises à jour logicielles sur les objets connectés. C’est un point primordial qui permet d’assurer la pérennité et la viabilité économiques des solutions mises en place.
LwM2M de l’OMA, OSCORE de l’IETF sont le meilleur de l’état-de-l’art dans le domaine de la gestion à distance des objets connectés et ces technologies sont en phase d’adoption massive par les grands acteurs de l’industrie. »
L’avenir de la sécurité dans l’IoT
ELA : Quel avenir pour la sécurité des objets connectés ?
Hatem Oueslati : « Les grands opérateurs télécoms, les grands industriels et les gouvernements vont naturellement imposer des régulations et notamment l’utilisation de Standards internationaux de sécurité et de gestion à distance aux constructeurs d’objets connectés. Ce sont ces mêmes acteurs, grands Opérateurs mondiaux, fabricants principaux de puces de connectivité, grands fournisseurs de Compteurs connectés qui planchent aujourd’hui sur les technologies les plus adaptées pour le déploiement massif et la sécurité des objets connectés. Il y a encore trop de fragmentation dans ce domaine, encore de trop nombreuses solutions propriétaires ou insuffisamment sécurisées sur le marché.
L’interopérabilité, la gestion à distance et la sécurité de nos smartphones, de nos applications Internet paraissent une évidence aujourd’hui. Pourtant elles ne sont possibles que grâce à l’adoption de Standards ouverts, l’origine de ces initiatives viennent souvent de ces mêmes consortiums.
Au-delà de la cryptographie des données issus des objets connectés, le marché de l’Internet des Objets va donc évoluer vers plus de gestion à distance, plus de dynamique dans la sécurisation des éléments de bout en bout.«