Pas d'IoT sans sécurité - Actualités RT Sécurité

Pas d'IoT sans sécurité

le 23/11/2018, par Bertrand LEMAIRE, Sécurité, 983 mots

Les objets connectés existent depuis longtemps. Mais leur multiplication et l'accroissement des usages a entraîné le besoin de nouvelles approches techniques, avec du traitement local, ce que l'on appelle l'Edge Computing ou, plus simplement, l'edge. Le cloud est, ici, tout sauf une panacée, du moins quand on parle des données brutes. Et les objets connectés devenus « intelligents » deviennent aussi des facteurs de risques. Pour faire le point sur le sujet, le CPI-B2B (Club de la Presse Informatique B2B) a consacré sa réunion du 21 Novembre 2018 à cette double thématique de l'IoT et de l'edge.

Pas d'IoT sans sécurité

Les objets connectés existent depuis longtemps. Mais leur multiplication et l'accroissement des usages a entraîné le besoin de nouvelles approches techniques, avec du traitement local, ce que l'on appelle l'Edge Computing ou, plus simplement, l'edge. Le cloud est, ici, tout sauf une panacée, du moins quand on parle des données brutes. Et les objets connectés devenus « intelligents » deviennent aussi des facteurs de risques. Pour faire le point sur le sujet, le CPI-B2B (Club de la Presse Informatique B2B) a consacré sa réunion du 21 Novembre 2018 à cette double thématique de l'IoT et de l'edge.

Tout d'abord, il fallait préciser de quoi on parle. Un objet connecté est simple : il s'agit d'un ou plusieurs capteurs assemblés qui relèvent des états et les renvoient à un système de collecte. Aujourd'hui, l'objet connecté à la fois complexe et courant par excellence est le smartphone. Un autre est une voiture. Et il ne faut pas oublier un simple thermomètre connecté. L'objet intelligent dispose, en plus, d'une capacité de traitement de l'information et de prise de décision. Typiquement, une voiture va capter des informations lors d'un freinage et décider ou non de déclencher l'ABS. Eventuellement, la décision peut être de remonter une information ou un agrégat d'informations dans certains cas et pas d'autres.

De l'IoT à l'IoT contraint

L'objet intelligent peut être contextuel, c'est à dire capable d'intégrer des données de contexte, externe à ses données propres. Par exemple, un chariot automatique peut, dans un entrepôt, décider d'aller d'un point A à un point B ou de rejoindre un point C selon les transports qui seront à opérer, commandés par un système central, tout en respectant les obstacles sur son chemin. Un autre exemple est, tout simplement, un datacenter qui est aussi un très gros objet connecté, avec ses capteurs de température et la commande d'opérations pour réaliser le refroidissement voire remonter des informations comme des alertes.

Un cas particulier est l'objet connecté industriel. Dans ce cas, il convient de tenir compte de besoins particuliers comme la fiabilité ou la transmission de données en temps réel. Et il s'agit bien, ici, de temps réel, de quelques millisecondes parfois. C'est un exemple de contraintes pouvant peser sur certains objets connectés. Une autre contrainte est la puissance propre de l'objet. Un smartphone actuel est souvent plus puissant que bien des serveurs d'il y a quelques années : c'est un objet sans contrainte particulière pour le développement applicatif. A l'inverse, d'autres objets ont peu de mémoire ou de puissance de calcul. Le développement est alors nettement plus compliqué. Sauf si on dispose de plates-formes qui permettent d'adapter une répartition de la charge entre l'objet et un tampon local de traitement (le fameux edge) voire le cloud. Typiquement, des caméras analysant le trafic de magasins sans caisse pour facturer les bons produits aux bons acheteurs ne remontent pas de la vidéo HD à un service dans le cloud : il y a donc d'abord un traitement local qui ne va déboucher que sur l'envoi des données utiles.

Transmettre ce qui est pertinent par un moyen pertinent

L'envoi et le traitement dans le cloud sont en effet freinés par trois contraintes : la latence, la disponibilité et le coût de l'envoi de gros volumes. A cela s'ajoute, dans certains cas, le fait que les objets ne sont pas alimentés électriquement. Il leur fait donc compter sur leurs seules batteries. Dans ces cas, il est nécessaire d'optimiser la transmission pour éviter d'avoir à recharger sans arrêt des milliers d'objets connectés. La transmission peut ainsi s'opérer sur du réseau généraliste (Internet, 4G...), du réseau à courte portée (bluetooth), du réseau filaire ou du réseau dédié (LoRa, Sigfox). Ces deux derniers supposent des infrastructures propres mais est peu consommateur de ressources. Le réseau filaire est parfois la meilleure solution dans l'industrie pour faire face aux perturbations électromagnétiques.

De plus, le stockage central est souvent avec un haut niveau de service, donc coûteux. Un traitement local (edge) permet de limiter singulièrement les volumes expédiés et donc stockés, parfois au prix d'une latence importance. Selon les métiers ou les secteurs, les attentes sur l'edge varieront. Et les définitions précises varient également beaucoup. L'edge peut ainsi être une évolution d'une informatique distribuée relativement classique. Mais il peut aussi n'être qu'une forme de programmation événementielle, avec déclenchement d'opérations sur événements. A l'inverse, une distinction traditionnelle tend à disparaître : celle entre données structurées ou non-structurées. En effet, le stockage s'opère de plus en plus de la même façon, via des bases de type Hadoop.

L'intelligence en facteur de risque

Mais l'augmentation de la puissance locale, pas toujours bien contrôlée ou surveillée, est un facteur de risque. Plus on rajoute de couches aux systèmes, plus il y a de surfaces d'attaques. L'idéal est donc de chiffrer les données de bout en bout avec des clés stockées localement mais signant les transmissions. Le système de collecte vérifie alors la cohérence entre la déclaration d'identité de l'objet et sa signature, un écart devenant une anomalie.

Si l'objet lui-même est compromis, il peut, grâce à sa puissance propre, devenir un relai pour les cybercriminels. On a ainsi vu des objets connectés attaqués non pas pour leurs données ou leurs capacités d'action propres mais pour servir de relais à des attaques DdoS.

Légende illustration principale : Le 21 Novembre 2018, le CPI-B2B s'est réuni sur le sujet de l'IoT et du Edge Computing.

Frappé par une faille, Zoom bétonne la sécurité de sa webconférence

Affectant dans un premier temps les utilisateurs de la version macOS pour poste de travail, la vulnérabilité de l'application de webconférence Zoom s'est étendu aux solutions RingCentral et Zhumu. Pour...

le 16/07/2019, par Matthew Finnegan, Computerworld (adapté par Dominique Filippone), 1795 mots

Cisco émet trois avis de sécurité critiques pour DNA Center

Trois problèmes de sécurité sérieux signalés par Cisco concernent Data Center Network Manager (DCNM). L'équipemntier a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans...

le 01/07/2019, par Michael Conney, Network World (adapté par Jean Elyan), 725 mots

Mirai essaye d'étendre son emprise au SD-WAN

Après les périphériques connectés, le malware Mirai s'attaque aujourd'hui aux équipements SD-WAN pour accroitre la portée de ses attaques. Mirai, le malware qui a détourné des centaines de milliers d'appareils...

le 18/06/2019, par Jon Gold, IDG NS (adapté par Jean Elyan), 531 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...