Selon Cisco, 127 nouveaux objets sont connectés à Internet à chaque seconde.

D’ici 2025, il pourrait y avoir plus de 75 milliards de dispositifs connectés en ligne. De quoi faire frémir quand on sait que tous ces dispositifs sont susceptibles d’être attaqués.

L’Internet des objets se généralise suffisamment pour que nous ayons besoin de nouveaux acronymes pour différencier les dispositifs médicaux (IoMT) et industriels (IIoT) connectés des sonnettes, caméras de sécurité, stations météo, ou raquettes de tennis connectées qui diffusent déjà des données en continu.

Pour IDC, le succès des objets connectés n’est plus à prouver. L’institut estime en effet que quelque 200 milliards de dollars ont été dépensés pour les modules et capteurs IoT industriels en 2019, une nouvelle étape dans l’édification de la future industrie 4.0.

Cette notion suppose que nous sommes désormais entré dans la quatrième révolution industrielle (la vapeur et l’électricité ayant cédé la place aux ordinateurs pour la troisième révolution industrielle). Celle-ci repose sur l’idée que des machines intelligentes, connectées, alimentées par apprentissage, qui peuvent se configurer, se surveiller, s’améliorer et se diagnostiquer elles-mêmes, deviennent partie intégrante de tout, de l’usine aux voitures et aux villes.

La sécurité, un enjeu majeur

Cette industrie 4.0 devra se marier à l’informatique de pointe: après avoir déplacé de nombreux calculs de la salle des serveurs vers le Cloud, nous pouvons maintenant pousser les calculs les plus sensibles au temps à côté des machines, en revenant au Cloud pour les analyses et la modélisation qui rendent ces calculs locaux si ciblés.

Quel que soit le nom qu’on lui donne, quand les objets connectés sont au contact de dispositifs aussi sensibles que des pompes à médicaments, des opérations de gestion de flotte ou de réseau électrique, la première de toutes nos priorités doit être la sécurité.

Un pare-feu n’y changera rien. Au cours du premier semestre 2018, Kaspersky IoT a détecté 12 millions d’attaques visant des dispositifs IoT et provenant de 69’000 adresses IP. Au cours du premier semestre 2019, cela représente jusqu’à 105 millions d’attaques provenant de 276’000 adresses IP uniques. Alors comment renforcer la sécurité de l’Internet des objets? Doit-on aller jusqu’à prévoir de bloquer toutes les adresses IP malveillantes?

Les constructeurs s’y mettent

Un pare-feu périmétrique n’a pas de sens comme moyen de protéger les appareils puisque les modems puis les smartphones ont contribué à faire exploser la localisation des fonctions critiques. Il faut donc agir sur l’identification des demandes d’accès. Tempered Networks dispose de ce qu’il appelle un pare-feu virtuel à lame d’air, qui remplace l’adresse IP par une identité cryptographique stockée dans un matériel sécurisé. De son côté, G+D (la société responsable d’une grande partie des SIM) suggère d’utiliser les eSIM pour authentifier la provenance des demandes d’accès, tandis que Cisco Edge Intelligence promet la détection d’anomalies – le repérage des dispositifs connectés compromis par l’analyse du trafic réseau.

Microsoft propose pour sa part des services Azure dédiés qui utilisent Azure Active Directory pour la gestion des identités et des dispositifs (y compris la mise à jour des dispositifs, ce qui se produit rarement de nos jours, en utilisant le réseau de distribution de contenu Windows Update). Elle a également lancé Azure Sphere, une plateforme matérielle permettant de construire des périphériques avec une distribution Linux personnalisée et une unité de microcontrôleur sécurisée, reprise par Qualcomm, NXP et d’autres fournisseurs de matériel.

Arm – dont les processeurs embarqués sont largement utilisés dans les dispositifs connectés – ajoute une racine matérielle de confiance aux puces utilisées dans ces dispositifs, qui peut faire des choses comme bloquer l’accès au débogueur une fois qu’un dispositif a été déployé ; ce type de protection du cycle de vie est un bon moyen de donner aux développeurs des outils puissants pour construire des systèmes que les pirates ne peuvent pas utiliser pour s’y introduire.

Ne pas négliger la sécurité élémentaire

Il existe également des précautions plus simples à prendre concernant l’Internet des objets: s’assurer que les dispositifs ne sont jamais installés avec le mot de passe par défaut et utiliser des identités fortes pour chaque dispositif connecté, afin qu’il ne puisse communiquer qu’avec les systèmes qu’il contrôle ou auxquels il envoie des données.

Les dispositifs connectés sont parfois attaqués pour pénétrer dans ton réseau, ce qui limite les comptes d’administration privilégiés et permet de passer de l’authentification et des mots de passe de base à l’AMF et à la biométrie ou aux jetons matériels.

En un mot comme en cent: n’oublions jamais qu’Internet des objets doit impérativement rimer avec « sécurité » pour permettre le développement d’une industrie 4.0 digne de ce nom.

Source: ZDNet.com