La poubelle numérique annoncée de l’Internet des objets
Faute d’exigences légales pour de bonnes pratiques de développement pour les objets connectés, ceux-ci sont appelés, en vieillissant, à former une vaste poubelle du numérique potentiellement dangereuse pour tout l’écosystème du connecté.
Souvenons-nous d’Heartbleed. Découverte il y a plus d’un an, cette vulnérabilité affecte encore un grand nombre de systèmes accessibles au public, sur Internet. C’est du moins le constat tout aussi préoccupant qu’éclairant que faisait Venafi début avril.
Préoccupant, parce qu’il montre que la connaissance d’une vulnérabilité ne suffit pas à provoquer sa correction massive. Pour mémoire, Heartbleed permet à n’importe qui sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL avec, à la clé, le risque de compromission des clés secrètes utilisées pour identifier les fournisseurs de services et pour chiffrer le trafic, des identifiants des utilisateurs, et le contenu transitant sur les liens chiffrés. C’est un bug dans l’implémentation de l’extension heartbeat des protocoles TLS/DTLS, au sein d’OpenSSL, qui est à l’origine de la vulnérabilité.
Des mises à jour difficiles
Qu’on ne s’y trompe pas : les correctifs existent. Mais combler les brèches ouvertes par ce bug peut s’avérer laborieux : « il faut appliquer le correctif, révoquer les clés compromises, et ré-émettre et redistribuer de nouvelles clés. […] Tout cela doit être fait par les fournisseurs de services », expliquaient les chercheurs à l’origine de la découverte. Et malgré tout cela, le trafic précédemment intercepté restera menacé.
Mais Heartbleed fait presque figure de bonne nouvelle : il s’agit d’une vulnérabilité présente dans une librairie logicielle. Une mise à jour est donc possible. Et c’est généralement le cas lorsque la logique affectée par une vulnérabilité est inscrite dans le logiciel. Les choses se compliquent considérablement dès lors que la logique affectée est inscrite en dur, dans le silicium.Et pour Venafi, seules 419 des 2000 plus grandes multinationales ont effectivement remédié à Heartbleed de manière complète, pour leurs services accessibles au public.
Et justement, c’est en cela qu’Heartbleed est éclairant car, avec les objets connectés, la question est ouverte : ces objets sont-ils et seront-ils dotés des ressources nécessaires à une implémentation logicielle de leur logique ? Ou bien, réduction des coûts oblige, celle-ci sera-t-elle inscrite dans leur silicium ?
L’identité, une question au cœur l’Internet des objets
La référence à Heartbleed n’est pas anodine. Pour assurer le développement de l’Internet des objets, il s’avère plus que jamais nécessaire de disposer d’une infrastructure qui permette d’authentifier les parties impliquées dans un échange de données, mais également le chiffrement de ces données, le tout pour assurer la confidentialité des transmissions et leur intégrité. C’est à tout le moins une question de confiance sinon de performance.
Début avril, GlobalSign soulignait en ce sens le rôle qu’une infrastructure de PKI peut avoir à jouer là. PingIdentity ne faisait pas autre chose en soulignant « l’importance du contrôle de l’identité pour accompagner l’essor de ces objets connectés ».
Signe de l’importance du sujet, les recherches dont il fait l’objet : des chercheurs ont ainsi dévoilé, début avril, un concept d’empreinte digitale pour objets connectés, visant à authentifier leur logiciel embarqué afin d’éviter son détournement à des fins malicieuses.
Eve Maler, Vice-Présidente de ForgeRock en charge de l’innovation et des technologies émergentes, exprimait une position comparable, lors d’un entretien avec la réaction fin avril. Pour elle, l’identité est effectivement clé pour l’Internet des objets. Et d’évoquer OAuth comme solution plus légère et flexible que SAML pour assurer l’authentification des personnes et… des objets : « OAuth, OpenID Connect [ou OIDC, basé sur OAuth, NDLR] et UMA sont très intéressants à utiliser dans le contexte de l’Internet des objets ».
Impliquer les Etats
UMA est un profil OAuth Porté par l’initiative Kantara. Celle-ci est notamment pilotée par l’IEEE. Elle regroupe de nombreux industriels, à commencer par des spécialistes de l’identité, mais également le gouvernement du Canada. Un signe de la nécessaire implication des Etats nations dans une forme de régulation des exigences de sécurité pour l’Internet des objets ?
Christophe Jolly, responsable France des ventes pour la division sécurité de Cisco, reconnaît l’importance de l’enjeu. Face un écosystème très ouvert, il joue la carte de la sécurité au cœur du réseau, soulignant les capacités de ses équipements à traiter la menace au niveau des flux réseau. Sommairement, il s’agit in fine d’isoler ou au moins de confiner dans un espace sanctuarisé les éléments vulnérables.
Au risque de voir se développer, sur une frange du réseau, une poubelle d’objets connectés vulnérables, détournables, mais impossibles à maintenir, mettre à jour, voire parfois à déconnecter. Un peu comme ces débris qui se sont accumulés, avec le temps, en orbite autour de la terre, en attendant leur désintégration à l’occasion de leur rentrée non contrôlée dans l’atmosphère.
Mais alors que des réglementations s’imposent aux constructeurs automobiles pour les émissions polluantes de leurs nouveaux modèles, ou le recyclage de leurs matériaux, ne revient-il pas aux gouvernements d’imposer des exigences de sécurité et d’authentification, voire de maintenabilité aux fabricants d’objets connectés ?
Pour Christophe Jolly, « pourquoi pas, en effet, un peu comme au début des télécoms des organismes homologuaient les appareils devant se connecter au réseau. » Reste à savoir si la volonté requise est là : « aujourd’hui, on en est plus à réguler les outils de sécurité, à travailler sur la confiance dans ces outils. Mais on laisse se développer l’écosystème, jusqu’à laisser émerger des standards qui sont parfois intrinsèquement discutables ».