Pas d'IoT sans sécurité - Actualités RT Sécurité

Pas d'IoT sans sécurité

le 23/11/2018, par Bertrand LEMAIRE, Sécurité, 983 mots

Les objets connectés existent depuis longtemps. Mais leur multiplication et l'accroissement des usages a entraîné le besoin de nouvelles approches techniques, avec du traitement local, ce que l'on appelle l'Edge Computing ou, plus simplement, l'edge. Le cloud est, ici, tout sauf une panacée, du moins quand on parle des données brutes. Et les objets connectés devenus « intelligents » deviennent aussi des facteurs de risques. Pour faire le point sur le sujet, le CPI-B2B (Club de la Presse Informatique B2B) a consacré sa réunion du 21 Novembre 2018 à cette double thématique de l'IoT et de l'edge.

Pas d'IoT sans sécurité

Les objets connectés existent depuis longtemps. Mais leur multiplication et l'accroissement des usages a entraîné le besoin de nouvelles approches techniques, avec du traitement local, ce que l'on appelle l'Edge Computing ou, plus simplement, l'edge. Le cloud est, ici, tout sauf une panacée, du moins quand on parle des données brutes. Et les objets connectés devenus « intelligents » deviennent aussi des facteurs de risques. Pour faire le point sur le sujet, le CPI-B2B (Club de la Presse Informatique B2B) a consacré sa réunion du 21 Novembre 2018 à cette double thématique de l'IoT et de l'edge.

Tout d'abord, il fallait préciser de quoi on parle. Un objet connecté est simple : il s'agit d'un ou plusieurs capteurs assemblés qui relèvent des états et les renvoient à un système de collecte. Aujourd'hui, l'objet connecté à la fois complexe et courant par excellence est le smartphone. Un autre est une voiture. Et il ne faut pas oublier un simple thermomètre connecté. L'objet intelligent dispose, en plus, d'une capacité de traitement de l'information et de prise de décision. Typiquement, une voiture va capter des informations lors d'un freinage et décider ou non de déclencher l'ABS. Eventuellement, la décision peut être de remonter une information ou un agrégat d'informations dans certains cas et pas d'autres.

De l'IoT à l'IoT contraint

L'objet intelligent peut être contextuel, c'est à dire capable d'intégrer des données de contexte, externe à ses données propres. Par exemple, un chariot automatique peut, dans un entrepôt, décider d'aller d'un point A à un point B ou de rejoindre un point C selon les transports qui seront à opérer, commandés par un système central, tout en respectant les obstacles sur son chemin. Un autre exemple est, tout simplement, un datacenter qui est aussi un très gros objet connecté, avec ses capteurs de température et la commande d'opérations pour réaliser le refroidissement voire remonter des informations comme des alertes.

Un cas particulier est l'objet connecté industriel. Dans ce cas, il convient de tenir compte de besoins particuliers comme la fiabilité ou la transmission de données en temps réel. Et il s'agit bien, ici, de temps réel, de quelques millisecondes parfois. C'est un exemple de contraintes pouvant peser sur certains objets connectés. Une autre contrainte est la puissance propre de l'objet. Un smartphone actuel est souvent plus puissant que bien des serveurs d'il y a quelques années : c'est un objet sans contrainte particulière pour le développement applicatif. A l'inverse, d'autres objets ont peu de mémoire ou de puissance de calcul. Le développement est alors nettement plus compliqué. Sauf si on dispose de plates-formes qui permettent d'adapter une répartition de la charge entre l'objet et un tampon local de traitement (le fameux edge) voire le cloud. Typiquement, des caméras analysant le trafic de magasins sans caisse pour facturer les bons produits aux bons acheteurs ne remontent pas de la vidéo HD à un service dans le cloud : il y a donc d'abord un traitement local qui ne va déboucher que sur l'envoi des données utiles.

Transmettre ce qui est pertinent par un moyen pertinent

L'envoi et le traitement dans le cloud sont en effet freinés par trois contraintes : la latence, la disponibilité et le coût de l'envoi de gros volumes. A cela s'ajoute, dans certains cas, le fait que les objets ne sont pas alimentés électriquement. Il leur fait donc compter sur leurs seules batteries. Dans ces cas, il est nécessaire d'optimiser la transmission pour éviter d'avoir à recharger sans arrêt des milliers d'objets connectés. La transmission peut ainsi s'opérer sur du réseau généraliste (Internet, 4G...), du réseau à courte portée (bluetooth), du réseau filaire ou du réseau dédié (LoRa, Sigfox). Ces deux derniers supposent des infrastructures propres mais est peu consommateur de ressources. Le réseau filaire est parfois la meilleure solution dans l'industrie pour faire face aux perturbations électromagnétiques.

De plus, le stockage central est souvent avec un haut niveau de service, donc coûteux. Un traitement local (edge) permet de limiter singulièrement les volumes expédiés et donc stockés, parfois au prix d'une latence importance. Selon les métiers ou les secteurs, les attentes sur l'edge varieront. Et les définitions précises varient également beaucoup. L'edge peut ainsi être une évolution d'une informatique distribuée relativement classique. Mais il peut aussi n'être qu'une forme de programmation événementielle, avec déclenchement d'opérations sur événements. A l'inverse, une distinction traditionnelle tend à disparaître : celle entre données structurées ou non-structurées. En effet, le stockage s'opère de plus en plus de la même façon, via des bases de type Hadoop.

L'intelligence en facteur de risque

Mais l'augmentation de la puissance locale, pas toujours bien contrôlée ou surveillée, est un facteur de risque. Plus on rajoute de couches aux systèmes, plus il y a de surfaces d'attaques. L'idéal est donc de chiffrer les données de bout en bout avec des clés stockées localement mais signant les transmissions. Le système de collecte vérifie alors la cohérence entre la déclaration d'identité de l'objet et sa signature, un écart devenant une anomalie.

Si l'objet lui-même est compromis, il peut, grâce à sa puissance propre, devenir un relai pour les cybercriminels. On a ainsi vu des objets connectés attaqués non pas pour leurs données ou leurs capacités d'action propres mais pour servir de relais à des attaques DdoS.

Légende illustration principale : Le 21 Novembre 2018, le CPI-B2B s'est réuni sur le sujet de l'IoT et du Edge Computing.

Les systèmes de visioconférence Polycom ciblés par des botnets

Un trio de botnets IoT basés sur Mirai, découvert par les chercheurs de WootCloud, exploite les systèmes de vidéoconférence Polycom non patchés. L'entreprise a publié un avis et les meilleures pratiques pour...

le 21/02/2019, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 1024 mots

Les fuites de données en baisse en 2018

Selon un rapport de Risk Based Security, en 2018, il y a eu moins d'atteintes à la vie privée et moins de fuites de documents, évaluées à un total de 5 milliards, mais il est difficile de dire si cet impact...

le 18/02/2019, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 899 mots

VPN gratuit : Opera fait son come-back sur Android

Après avoir fermé en 2018 son application de tunnel privé virtuel pour iOS et Android, Opera remet finalement le couvert avec un VPN gratuit pour un usage illimité. Quand, l'an dernier, Opera a annoncé la...

le 15/02/2019, par Michael Simon, IDG NS (adapté par Jean Elyan), 167 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »