fotohansel - Fotolia
L’IAM condamné à évoluer pour s’ouvrir aux objets connectés
La gestion des identités et des accès apparaît incontournable pour contrôler les objets connectés. Mais les défis sont nombreux, qu’il s’agisse d’échelle, ou de la capacité à associer une identité à des appareils parfois difficilement différentiables.
Pour étudier les questions de sécurité liées à l’identité des objets connectés, Golan Ben-Oni, DSI d’IDT Corp., a engagé une red team – une équipe de chercheurs offensifs – pour mener une expérience. Sa contrainte : n’utiliser que des équipements non traditionnels mais dotés de capacités réseau pour compromettre un ordinateur protégé derrière un pare-feu. En exploitant des vulnérabilités connues, le groupe a mis à profit un clavier sans fil utilisé par un employé fictif pour injecter des commandes dans le système cible, prendre le contrôle de l'ordinateur et établir une tête de pont sur l’infrastructure.
Pour Ben-Oni, cette démonstration a été révélatrice et a souligné que les entreprises ont besoin de connaître l'existence non seulement de leurs systèmes informatiques et terminaux mobiles, mais aussi d'autres appareils connectés : « le démonstrateur n’a pas été difficile à créer. Cela a pris quelques semaines de développement. La menace est réelle et, comme d'habitude, les fabricants de ces appareils n'ont vraiment pas beaucoup pensé à la sécurité. Et s'ils l'ont fait, ils ne sont pas allés assez loin ».
Les résultats de l'exercice ne devraient pas surprendre. Bastille Networks, un spécialiste de la sécurité des objets connectés, a rendu publiques des vulnérabilités critiques dans les souris et les claviers sans fil populaires. Les failles – baptisées MouseJack et KeySniffer – permettent aux attaquants de surveiller les commandes et les saisies envoyées par un clavier vulnérable. Dans le pire des cas, elles permettent à un attaquant de prendre le contrôle l'ordinateur auquel sont connectés ces périphériques jusqu'à 100 mètres.
Alors qu’un nombre toujours croissant d’employés apportent leurs propres appareils au bureau, l’empreinte des objets connectés s’étend régulièrement un peu plus. Environ 21 milliards d'appareils devraient être connectés à Internet dans quatre ans, contre 6,4 milliards en 2016, selon Gartner. Et alors que ces dispositifs s’invitent dans l’environnement de travail, le danger pour les entreprises progresse.
Pourtant, l'industrie de la sécurité en est encore à développer une stratégie d'identité des objets. En avril 2015, la Cloud Security Alliance a publié ses premières recommandations, les présentant comme adressées uniquement aux utilisateurs d’avant-garde. Mais sans des normes strictes guidant les fabricants, les entreprises se retrouvent seules pour trouver la façon de découvrir et de gérer des dispositifs susceptibles d'introduire des faiblesses de sécurité dans leur environnement.
L’accès au réseau et aux données étant de plus en plus liés à l'identité, l'utilisation de la gestion de l'identité et des accès (IAM) peut sembler naturelle. Mais les appareils communiquant ne peuvent pas être tous traités de la même manière. Certains périphériques, tels que les téléphones mobiles, peuvent être liés à l'identité d'un utilisateur ; d'autres, comme les étiquettes d'identification par radiofréquence (RFID) sur les conteneurs de marchandises, devraient être associés à des objets physiques ; et d'autres encore, comme un système d’imagerie à résonance magnétique (IRM) ou une centrifugeuse, doivent être traités comme un actif critique.
« C'est vraiment une question de scénarios », explique Earl Perkins, du cabinet Gartner : « tant de nos conversations commencent par ‘ça dépend’ ».
Reconnaître le problème de l'identité des objets
Les étiquettes RFID, les vêtements intelligents ou les appareils de suivi de l’activité peuvent présenter un risque, mais ils sont tout en bas du spectre de la menace. Pour la plupart des entreprises, le problème touche principalement à l'identification des périphériques qui ont la capacité de se connecter au réseau ou à un autre périphérique.
Deux grandes classes de dispositifs constituent une menace, relève Perkins : « il y a une grosse flèche qui pointe vers les dispositifs industriels et une flèche plus mince qui pointe vers les appareils pour les consommateurs. Pour ces derniers, la vie privée est le principal problème. La question des périphériques industriels est plus grave ».
Pour cela, certaines leçons concernant les meilleures façons d'intégrer de manière sécurisée des objets connectés au réseau viennent d'industries qui ont été critiquées pour leur manque de sécurité : utilités, énergéticiens et autres opérateurs d’infrastructures critiques. Ces entreprises ont adopté des systèmes de contrôle et de supervision connectés pour mieux gérer leurs réseaux opérationnels. Ils ont eu l'expérience de l'impact de dispositifs non traditionnels connectés, estime Perkins : « beaucoup d’ingénieurs qui ont travaillé dans des environnements industriels rient aujourd’hui, parce qu'ils retrouvent ce qu'ils ont traité depuis un quart de siècle ».
Se heurter à un mur
Les RSSI qui cherchent à gérer l'identité des objets sur leur réseau devraient se concentrer sur l'identification de ces appareils, une étape naturelle, selon Geoff Webb, vice-président de Micro Focus en charge de la stratégie solutions : « une grande partie de la surveillance des appareils est perçue comme un problème de gestion d'identité : comment puis-je attacher une identité à ces périphériques et comment puis-je gérer le cycle de vie de leur identité. Et ce qui se passe, c'est que l'approche traditionnelle de la gestion de l'identité se heurte à un mur – gérer tous ces dispositifs similaires est une chose différente, et à une échelle beaucoup plus grande que la gestion de quelques milliers d'employés ».
L'échelle associée à l'identité des objets n'est pas le seul problème. Beaucoup d’appareils – comme les balises dans les vêtements intelligents et certains identifiants sans fil – sont si petits qu'ils n'ont pas suffisamment de ressources pour stocker un certificat ou de puissance de calcul pour gérer un échange cryptographique.
Pour Cesare Garlati, stratège en sécurité de la Fondation PRPL Cesare Garlati, il n'y a aucun moyen de rendre les appareils uniques, au sens du concept traditionnel d'identité. Beaucoup d'entre eux sont si peu coûteux qu'ils sont innombrables.
Au lieu de cela, certains se concentrent sur les moyens de dériver des identificateurs uniques des aspects physiques des très petits appareils : « il existe des façons d'extraire des identifiants uniques de chaque petit morceau de silicium. Cela renverse tout le modèle d'authentification et d'identité. Vous n'avez pas besoin de mettre en place des secrets si le secret vient du périphérique lui-même et qu’il est fiable ».
Répondre à la question de l'échelle
Mais qui dit objets connectés, dit aussi volume, masse d’appareils communicant. Les entreprises qui se sont concentrées sur l’évaluation de la situation en collectant des données et en les traitant vont devoir faire face à d’importants ordres de grandeur. Une multinationale avec 25 000 employés, chacun équipé de cinq appareils, a un problème majeur avec l'ampleur des données qui doivent être analysées, estime Ben-Oni : « un humain ne peut pas traiter de telles volumes ».
Pour Ben-Oni, l'automatisation participe clairement de la solution. IDT a démarré avec plus de 90 produits différents liés à la sécurité qui ont essayé de suivre l'information produite par les systèmes, les appareils et les appareils. L’entreprise a considérablement réduit cet éventail, de plus des deux tiers. Ben-Oni espère se concentrer sur une douzaine de produits de base qui peuvent suivre les périphériques et chercher de potentielles attaques.
Le problème de l'échelle s'étend également à l'autre extrémité du processus de gestion. Traditionnellement, les entreprises, les appareils mobiles et les utilisateurs sont provisionnés par les entreprises, ce qui confère aux employés un certain niveau d'accès selon l’appareil. Avec l'échelle des objets connectés, cependant, un tel processus deviendra onéreux. Plutôt qu’un enrôlement – un processus coûteux qui nécessite des interventions humaines –, les entreprises devraient se concentrer sur l'identification des dispositifs, estime Jim Reavis, CEO de la Cloud Security Alliance : « nous devons défendre sans vraiment toucher tellement les appareils. Un être humain qui installe et gère ces choses, cela ne fonctionnera pas. Il faudra beaucoup plus d’automatisation ».
Gestion de l'accès ou des relations
Pour faire face à l'afflux de dispositifs, les entreprises doivent passer par trois étapes majeures pour placer les périphériques sous contrôle de leurs systèmes d’IAM : découverte, identification et provisionnement.
Les systèmes d’IAM se concentrent généralement sur la création de règles bien définies, ce qui donne à un utilisateur un certain niveau d'accès en fonction du périphérique à partir duquel il se connecte au réseau. La gestion de la relation d'identité est plus souple, permettant aux machines et aux périphériques d'avoir leur propre identité, tout en rendant flexible le provisionnement. Les entreprises devraient déporter leurs efforts de la gestion des identités et des droits d'accès à celle des relations, selon les conseils de la Cloud Security Alliance sur les systèmes IAM et l’internet des objets.
« Il faut être en mesure de gérer les périphériques qui ont un rôle mais ne sont pas nécessairement associés à un utilisateur », explique Reavis. « Et c'est notre objectif : avoir un système d'identité cohérent capable d’accueillir des êtres humains réels qui agissent à travers des dispositifs, tout en manipulant d'autres dispositifs comme leur propre entité ».
En fin de compte, les entreprises – les fabricants tout autant que leurs clients – doivent résoudre le problème de sécurité des objets connectés parce qu’ils sont de plus en plus en mesure d'interagir avec des systèmes physiques. Et là, les enjeux sont particulièrement élevés.
« Lorsque l’on de données, le pire qui peut survenir est la perte de ces données », relève Garlati. Mais « lorsque l’on parle de tous ces autres systèmes connectés, on parle de bien plus, on parle de personnes qui meurent ».