Sécuriser l’Internet des objets, un défi impossible ?
Ce sera probablement l’un thèmes majeurs de l’édition 2012 de la conférence Infosecurity qui se déroulera à Londres du 24 au 26 avril prochains : l’impossible sécurisation des objets connectés. La récente polémique autour d’imprimantes laser HP en la plus récente démonstration. Mais Stuxnet était passé par là précédemment pour montrer la vulnérabilité des systèmes Scada. Et un nombre croissant de choses sont appelées à devenir des objets connectés. Pour le meilleur et pour le pire.
James Rendell, directeur technique de BlackRidge Technologies, renvoie à une infographie publiée par Dave Evans, sur l’un des blogs de Cisco, en juillet dernier, pour aider à prendre la mesure du sujet : courant 2008, le nombre d’objets connectés à Internet a dépassé le nombre d’internautes. En 2020, selon cette infographie [les sources sont mentionnées en bas, NDLR], il devrait y avoir 50 milliards d’objets connectés à Internet. Et pour ceux qui s’inquiètent de la question de la sécurité des smartphones et autres tablettes tactiles, il souligne que les objets connectés vont bien au-delà. De fait, lors de la conférence presse de présentation de l’édition 2012 d’Infosecurity Europe, il avait été précédé par Ashley Benn, directeur des ventes Europe de l’Ouest et Israël de Codenomicon. Celui-ci avait choisi de s’attarder sur la sécurité d’un objet connecté qu’il est facile d’oublier : l’imprimante. Et à juste titre : récemment, des chercheurs de l’Université de Columbia ont montré comment des vulnérabilités d’imprimantes HP pouvaient être utilisées par les cybercriminels. Dans ses prédictions pour 2012, McAfee a tenu à avertir des risques qui, selon lui, pèsent sur les systèmes embarqués qui animent les boîtiers GPS, les distributeurs automatiques, les appareils d’assistance médicale...
James Rendell n’ira probablement contredire aucun d’entre eux. Pour parler des objets connectés à Internet, il évoque bien sûr les Scada - et l’on se souvient encore de Stuxnet, voire de son rejeton présumé Duqu. Mais il passe également en revue les voitures, avec leurs systèmes de navigation embarquée - ou même leur électronique critique, de plus en plus complexe et facilement accessible par des bricoleurs -, «les radars de contrôle de vitesse, certains systèmes d’air conditionné, etc.»
Mais, pour lui, sécuriser tous ces systèmes ne sera pas une partie de plaisir, ne serait-ce que parce que leurs ressources sont fortement restraintes : «il ne sera pas possible de donner à tout ce qui est connecté à Internet un gros processeur et beaucoup de mémoire vive. Ce ne sera d’ailleurs pas souhaitable parce que cela impliquerait plus de consommation électrique et plus de chaleur à dissiper.» Et de souligner en outre le manque «historique» de prise en compte de la sécurité durant les phases de conception, ou encore les capacités de reconfiguration dynamique de certains dispositifs.
Surtout, pour lui, le danger réside dans les données que ces objets connectés à Internet sont susceptibles d’échanger. Compte tenu de l’échelle à prendre en compte - celle du nombre d’objets communicants - les «comportements, en termes de trafic, peuvent être difficiles à prédire ou à modéliser» en cas de confrontation d’un objet à un élément perturbateur que son code logiciel ne lui permet pas de gérer proprement ou d’absorber. De quoi imaginer des dénis de service massifs provoqués par de simples bugs ?
En tout cas, pour James Rendell, il va devenir crucial d’exercer «un contrôle précis des données» échangées. Et si possible des identités de leurs émetteurs. D’où son appel à doter les objets connectés à Internet de capacités cryptographiques.