kalafoto - Fotolia
L’automobile, un défi tout particulier pour les objets connectés
Confidentialité, intégrité et identité sont trois sujets clés de la sécurité des objets connectés. Mais le domaine de l’automobile fait émerger un défi tout particulier : celui de la vérification des chaînes de certificats à une très grande échelle, et à un rythme effréné.
C’est à l’automne dernier qu’OpenTrust a décidé de se recentrer sur l’identité numérique, cédant son activité de certification de documents et de transactions à DocuSign. A cette occasion, l’éditeur français a changé de nom pour IDnomic, afin d’illustrer son recentrage. Il développe aujourd’hui son offre autour de trois axes : l’identité dans la sphère publique, dans l’entreprise, et pour les objets connectés au sens le plus large.
A l’occasion d’une rencontre avec la rédaction, Dan Butnaru, directeur marketing IDnomic, souligne l’importance de ce dernier marché pour IDnomic, avec en particulier le segment de l’automobile. Et de relever qu’il n’a pas fallu attendre les révélations sur les vulnérabilités relatives à certains véhicules Chrysler ou encore BMW, l’an passé : « cela a commencé avec l’initiative européenne pour les systèmes de transport intelligents ».
Le sujet s’articule autour de trois axes : authentification, confidentialité et intégrité. Mais ces besoins ne sont pas spécifiques à l’automobile et aux systèmes de transport intelligents : « on retrouve les mêmes besoins dans d’autres segments, comme les compteurs intelligents ou l’industrie 4.0, avec les capteurs. Ce sont des concepts sur lesquels on travaille pour l’automobile et que l’on va naturellement reprendre ailleurs. Le prochain gros marché, à l’horizon 2020, c’est l’e-santé ».
La PKI est appelée à jouer là un rôle clé, d’où le positionnement d’IDnomic. Mais les infrastructures à clé publique vont être confrontées à de tout nouveaux défis : « elles sont déjà performantes pour gérer des millions de certificats et d’identités. Mais avec X.509, on ne pourra pas faire ; cela supposerait de traiter trop d’informations et l’on se heurterait à des problèmes de performances ».
Parce qu’avec les voitures connectées, que certains comparent déjà à de véritables centres de calcul roulant, « il faut gérer des milliers d’identités par seconde. A l’horizon 2020, on parle de 40 millions de véhicules de ce type en France, avec jusqu’à 1500 certificats par véhicule. On ne dispose pas encore des infrastructures avec les performances nécessaires ».
Pour Dan Butnaru, l’industrie a là besoin de certificats « conçus comme des consommables ». Ce qui ne manque pas de poser la question de leur révocation. Une question qui n’était pas initialement appréhendée par l’Etsi, « mais il est aujourd’hui acquis qu’il faut changer cela ». Mais au-delà, il y a « l’effet volume ; un défi pour tout le monde : on sait gérer de gros volumes de certificats pour certains projets, notamment liés à l’identité des citoyens, mais pas forcément avec les volumes de transactions que l’on trouve sur la voiture connectée ».
Là, le défi est celui de la vérification d’une chaîne de certificats potentiellement longue, en des temps très courts. « Et le simple fait d’avoir un certificat plus petit [qu’avec X.509] ne va pas suffire. Vérifier mille certificats à la seconde, on n’a pas encore fait ». C’est donc un travail de recherche en cours, en réponse à un défi technologique nouveau.
Après, d’autres univers prêts à être affectés par les objets connectés, comme l’industrie et la santé, sont appelés à profiter de ces travaux, et également dans la dimension confidentialité des échanges : « la voiture nous pousse à relever d’importants défis, elle nous amène à cumuler de l’expérience qui profitera à d’autres domaines ».