Sommes-nous en train de créer un Internet des objets (IoT) non sécurisé ? Défis et préoccupations en matière de sécurité

Publié: 2022-03-11

L'Internet des objets (IoT) est un mot à la mode dans l'industrie depuis des années, mais un développement lent et une commercialisation limitée ont conduit certains observateurs de l'industrie à commencer à l'appeler «l'Internet de rien».

Mis à part les doubles jeux de mots, le développement de l'IoT est en difficulté. En plus de générer des blagues geek impropres à la plupart des occasions sociales, le battage médiatique n'a pas aidé; et, en fait, je crois que cela a fait beaucoup plus de mal que de bien. Il y a quelques problèmes avec l'IoT, mais nous pourrions nous passer de toute la couverture positive et du battage médiatique sans fondement. L'avantage de générer plus d'attention est clair : plus d'investissements, plus de financement de capital-risque, plus d'intérêt des consommateurs.

sécurité et internet des objets

Cependant, ceux-ci s'accompagnent d'un niveau d'examen supplémentaire, ce qui a rendu un certain nombre de lacunes douloureusement évidentes. Après quelques années de prévisions haussières et de grandes promesses, la sécurité de l'IoT semble être la plus grande préoccupation. Les premières semaines de 2015 n'ont pas été favorables à cette industrie émergente, et la plupart de la presse négative tournait autour de la sécurité.

Était-ce justifié ? Était-ce juste « la peur, l'incertitude et le doute » (FUD), provoqués par des années de battage médiatique ? C'était un peu des deux; bien que certains problèmes aient pu être exagérés, les problèmes sont bien réels, en effet.

De "l'année de l'IoT" à Annus Horribilis pour l'IoT

De nombreux commentateurs ont décrit 2015 comme "l'année de l'IdO", mais jusqu'à présent, cela a été une année de mauvaise presse. Certes, il reste encore dix mois, mais les rapports négatifs ne cessent de s'accumuler. La société de sécurité Kaspersky a récemment publié une critique accablante des défis de sécurité de l'IoT, avec un titre peu flatteur, " Internet of Crappy Things ".

Kaspersky n'est pas étranger aux critiques et à la controverse de l'IdO ; l'entreprise tire la sonnette d'alarme depuis un certain temps, en les étayant d'exemples de maisons intelligentes piratées, de lave-autos et même de systèmes de surveillance policière. Qu'un pirate informatique veuille laver son véhicule gratuitement ou traquer quelqu'un à l'aide de son tracker de fitness, les failles de sécurité de l'IoT pourraient rendre cela possible.

Wind River a publié un livre blanc sur la sécurité de l'IoT en janvier 2015, et le rapport commence par une introduction qui donne à réfléchir. Intitulé Searching For The Silver Bullet , il résume le problème en seulement trois paragraphes, que je vais condenser en quelques points :

  • La sécurité doit être le catalyseur fondamental de l'IoT.
  • Il n'existe actuellement aucun consensus sur la manière de mettre en œuvre la sécurité dans l'IoT sur l'appareil.
  • Une attente répandue et irréaliste est qu'il est en quelque sorte possible de compresser 25 ans d'évolution de la sécurité dans de nouveaux dispositifs IoT.
  • Il n'y a pas de solution miracle qui puisse atténuer efficacement les menaces.

Cependant, il y a de bonnes nouvelles; les connaissances et l'expérience sont déjà là, mais elles doivent être adaptées pour s'adapter aux contraintes uniques des appareils IoT.

Malheureusement, c'est là que nous, en tant que développeurs de sécurité système, tombons sur un autre problème, un problème matériel.

La présidente de la Federal Trade Commission des États-Unis, Edith Ramirez, s'est adressée au Consumer Electronics Show de Las Vegas plus tôt cette année, avertissant que l'intégration de capteurs dans les appareils de tous les jours et leur permettre d'enregistrer ce que nous faisons pourrait poser un risque de sécurité énorme.

Ramirez a décrit trois défis clés pour l'avenir de l'IoT :

  • Collecte de données omniprésente.
  • Potentiel d'utilisations inattendues des données des consommateurs.
  • Risques de sécurité accrus.

Elle a exhorté les entreprises à améliorer la confidentialité et à construire des appareils IoT sécurisés en adoptant une approche axée sur la sécurité, en réduisant la quantité de données collectées par les appareils IoT, en augmentant la transparence et en offrant aux consommateurs le choix de refuser la collecte de données.

Ramirez a poursuivi en disant que les développeurs d'appareils IoT n'ont pas passé de temps à réfléchir à la façon de sécuriser leurs appareils et services contre les cyberattaques.

"La petite taille et la puissance de traitement limitée de nombreux appareils connectés pourraient inhiber le cryptage et d'autres mesures de sécurité robustes", a déclaré Ramirez. « De plus, certains appareils connectés sont peu coûteux et essentiellement jetables. Si une vulnérabilité est découverte sur ce type d'appareil, il peut être difficile de mettre à jour le logiciel ou d'appliquer un correctif - ou même d'informer les consommateurs d'un correctif.

Alors que Ramirez est parfait à bien des égards, je dois noter qu'Internet a traversé une phase similaire il y a deux décennies. Il y avait beaucoup de problèmes de sécurité, et les années 90 ont vu l'émergence des logiciels malveillants transmis par Internet, des attaques DDoS, du phishing sophistiqué et plus encore. Même si Hollywood a dépeint un avenir dystopique dans certains films, nous nous sommes retrouvés avec des chatons sur les réseaux sociaux et une faille de sécurité très médiatisée ici et là.

Internet n'est toujours pas sécurisé, nous ne pouvons donc pas nous attendre à ce que l'IoT soit sécurisé non plus. Cependant, la sécurité évolue constamment pour répondre à de nouveaux défis, nous l'avons déjà vu, et nous le reverrons, avec l'IoT et les technologies connectées qui en découlent.

Le matériel IoT est et restera un problème

Certains d'entre vous penseront que les problèmes matériels mentionnés par le patron de la FTC seront résolus ; oui, certains d'entre eux le feront probablement.

À mesure que le marché de l'IoT se développe, nous verrons davantage d'investissements et, à mesure que le matériel mûrira, nous obtiendrons une sécurité améliorée. Les fabricants de puces comme Intel et ARM voudront offrir une meilleure sécurité à chaque nouvelle génération, car la sécurité pourrait être un différenciateur du marché, leur permettant de remporter plus de gains de conception et de gagner une plus grande part.

La technologie progresse toujours, alors pourquoi pas ? Les nouveaux processus de fabrication se traduisent généralement par des processeurs plus rapides et plus efficaces, et tôt ou tard, l'écart se comblera, offrant ainsi aux développeurs une puissance de traitement suffisante pour mettre en œuvre de meilleures fonctionnalités de sécurité. Cependant, je ne suis pas sûr que ce soit un scénario réaliste.

iot non sécurisé

Tout d'abord, les puces IoT ne seront pas très lucratives car elles sont minuscules et généralement basées sur des architectures obsolètes. Par exemple, la plate-forme Intel Edison de première génération est basée sur des processeurs Quark, qui utilisent essentiellement le même jeu d'instructions CPU et une grande partie de la conception de l'ancien Pentium P54C. Cependant, le micro-ordinateur Edison de nouvelle génération est basé sur un processeur beaucoup plus rapide, basé sur des cœurs Atom Silvermont, qui se trouve aujourd'hui dans de nombreuses tablettes Windows et Android. (Intel a expédié environ 46 millions de SoC Bay Trail en 2014.)

À première vue, nous pourrions nous retrouver avec des cœurs de processeur x86 64 bits relativement modernes dans les appareils IoT, mais ils ne seront pas bon marché, ils seront toujours beaucoup plus complexes que les plus petits cœurs ARM, et auront donc besoin de plus de batterie. Puissance.

Les vêtements bon marché et jetables, qui semblent être la principale préoccupation de la FTC, ne seront pas alimentés par de telles puces, du moins pas de si tôt. Les consommateurs peuvent se retrouver avec des processeurs plus puissants, tels que les puces Intel Atoms ou ARMv8, dans certains produits intelligents, comme les réfrigérateurs intelligents ou les machines à laver avec écrans tactiles, mais ils ne sont pas pratiques pour les appareils jetables sans écran et avec une capacité de batterie limitée.

La vente de plates-formes complètes ou de conceptions de référence pour divers appareils IoT pourrait aider les fabricants de puces à générer plus de revenus, tout en introduisant plus de normalisation et de sécurité. La dernière chose dont l'industrie a besoin, c'est de plus d'appareils non normalisés et de plus de fragmentation. Cela peut sembler une approche logique et saine, puisque les développeurs se retrouveraient avec moins de plates-formes et plus de ressources seraient allouées à la sécurité, cependant, les failles de sécurité affecteraient également un plus grand nombre d'appareils.

L'argent afflue, les analystes restent optimistes, qu'est-ce qui pourrait mal tourner ?

L'un des moyens les plus courants de résoudre tout problème dans l'industrie technologique consiste simplement à y jeter de l'argent. Alors, voyons où nous en sommes actuellement en termes de financement plutôt que de technologie.

Selon les cabinets d'études IDC et Gartner, l'IdO se développera à un point tel qu'il transformera l'industrie des centres de données d'ici la fin de la décennie. Gartner s'attend à ce que le marché de l'IoT compte 26 milliards d'unités installées d'ici 2020, créant d'énormes opportunités pour toutes les parties, des centres de données et des fabricants de matériel aux développeurs et concepteurs. IDC s'attend également à ce que l'industrie de l'IdO se retrouve avec "des milliards d'appareils et des billions de dollars" d'ici la fin de la décennie.

Les dernières prévisions du marché de l'IoT de Gartner publiées en mai 2014 incluent également une liste de défis potentiels, dont certains que j'ai déjà couverts :

  • Sécurité : l'automatisation et la numérisation accrues créent de nouveaux problèmes de sécurité.
  • Entreprise : les problèmes de sécurité peuvent poser des risques pour la sécurité.
  • Confidentialité des consommateurs : potentiel de violation de la vie privée.
  • Données : de nombreuses données seront générées, tant pour les mégadonnées que pour les données personnelles.
  • Gestion du stockage : l'industrie doit savoir quoi faire des données de manière rentable.
  • Technologies de serveur : Des investissements supplémentaires dans les serveurs seront nécessaires.
  • Réseau de centres de données : les liaisons WAN sont optimisées pour les applications d'interface humaine, l'IoT devrait changer radicalement les modèles en transmettant automatiquement les données.

Tous ces points (et bien d'autres) doivent être traités tôt ou tard, souvent à un coût conséquent. Nous ne parlons plus de minuscules puces IoT et de jouets bon marché basés sur de telles puces, c'est de l'infrastructure. Cela représente beaucoup de silicium dans les processeurs de serveur, de la RAM DDR4 ECC coûteuse et des SSD encore plus gros, tous hébergés dans des serveurs coûteux, dans des centres de données encore plus grands.

Ce n'est que la pointe de l'iceberg; l'industrie doit s'attaquer aux problèmes de bande passante, aux politiques de gestion et de confidentialité des données et à la sécurité. Alors, combien d'argent cela laisse-t-il pour la sécurité, qui figure en tête de liste des défis IoT de Gartner ?

Beaucoup d'argent est déjà versé dans l'industrie, les sociétés de capital-risque s'y mettent et le rythme des investissements semble s'accélérer. Il y a également eu un certain nombre d'acquisitions, impliquant souvent de grands acteurs comme Google, Qualcomm, Samsung, Gemalto, Intel et d'autres. Il existe une liste des investissements liés à l'IoT sur Postscapes. Le problème avec bon nombre de ces investissements, en particulier ceux provenant des VC, est qu'ils ont tendance à se concentrer sur des choses «brillantes», des appareils qui peuvent être commercialisés bientôt, avec un retour sur investissement potentiellement spectaculaire. Ces investissements ne font pas grand-chose pour la sécurité ou l'infrastructure, qui devrait essentiellement suivre la demande IoT.

Les grands joueurs devront faire le gros du travail, pas les startups et les fabricants de jouets soutenus par VC. Les startups agiles et innovantes joueront certainement un grand rôle en stimulant l'adoption et en créant la demande, mais elles ne peuvent pas tout faire.

Alors voyons les choses de cette façon, même une petite entreprise peut construire une voiture, ou des dizaines de milliers de voitures, mais elle ne peut pas construire d'autoroutes, de routes, de stations-service et de raffineries. Cette même petite entreprise peut construire un véhicule sûr en utilisant une technologie prête à l'emploi pour répondre aux normes de sécurité routière de base, mais elle ne pourrait pas construire un véhicule de type Segway qui répondrait aux mêmes normes de sécurité, ni personne d'autre. Les normes de sécurité automobile ne pourraient jamais s'appliquer à de tels véhicules, nous ne voyons pas de personnes se rendre au travail en Segway, nous ne pouvons donc pas non plus nous attendre à ce que la norme de sécurité technologique traditionnelle s'applique aux appareils IoT sous-alimentés.

Avoir des navetteurs vérifiant leurs e-mails ou jouant à Candy Crush tout en conduisant leur Segway dans le trafic aux heures de pointe ne semble pas très sûr, n'est-ce pas ? Alors, pourquoi devrions-nous nous attendre à ce que les appareils IoT soient aussi sûrs que les autres appareils connectés, avec un matériel beaucoup plus puissant et des systèmes d'exploitation matures ? C'est peut-être une étrange analogie, mais l'essentiel est que les appareils IoT ne peuvent pas être tenus de se conformer aux mêmes normes de sécurité que les ordinateurs à part entière.

Mais attendez, il n'y avait pas tant de débâcles de sécurité IoT…

Certes, nous ne voyons pas beaucoup de gros titres sur les failles de sécurité spectaculaires de l'IoT, mais permettez-moi de le dire ainsi : combien de titres liés à la sécurité avez-vous vus à propos d'Android Wear ? Une? Deux? Aucun? On estime qu'il y a moins d'un million d'appareils Android Wear dans la nature, ils ne sont donc tout simplement pas une cible privilégiée pour les pirates ou un sujet pour les chercheurs en sécurité.

Combien d'appareils IoT possédez-vous et utilisez-vous actuellement ? Combien votre entreprise utilise-t-elle ? C'est de là que vient la blague "Internet of NoThings", la plupart des gens n'en ont pas. Les chiffres continuent d'augmenter, mais le consommateur moyen n'en achète pas beaucoup, alors d'où vient cette croissance ? Les appareils IoT sont là et les chiffres sont en plein essor, tirés par les entreprises plutôt que par le marché des consommateurs.

Verizon et ABI Research estiment qu'il y avait 1,2 milliard d'appareils différents connectés à Internet l'année dernière, mais d'ici 2020, ils prévoient jusqu'à 5,4 milliards de connexions IoT B2B.

Les bracelets intelligents, les grille-pain et les colliers de chien ne sont pas une grande préoccupation du point de vue de la sécurité, mais le dernier rapport IoT de Verizon se concentre sur quelque chose d'un peu plus intéressant : l'entreprise.

Le nombre de connexions machine à machine (M2M) de Verizon dans le secteur manufacturier a augmenté de 204 % entre 2013 et 2014, suivi par la finance et l'assurance, les médias et le divertissement, la santé, la vente au détail et les transports. Le rapport Verizon comprend une ventilation des tendances de l'IoT dans divers secteurs, il offre donc un aperçu de l'aspect commercial des choses.

Le ton général du rapport est optimiste, mais il énumère également un certain nombre de problèmes de sécurité. Verizon décrit les failles de sécurité dans le secteur de l'énergie comme "impensables", décrit la sécurité de l'IoT comme "primordiale" dans la fabrication, et n'évoquons même pas les risques potentiels dans les soins de santé et les transports.

Comment et quand obtiendrons-nous un Internet des objets sécurisé ?

Je n'essaierai pas d'offrir une réponse définitive sur la façon dont les défis de sécurité IoT peuvent être résolus, ni quand. L'industrie est toujours à la recherche de réponses et il reste encore un long chemin à parcourir. Des études récentes indiquent que la majorité des appareils IoT actuellement disponibles présentent des failles de sécurité. HP a constaté que 70 % des appareils IoT sont vulnérables aux attaques.

Alors que la croissance offre de nombreuses opportunités, l'IoT n'est toujours pas mature ou sécurisé. L'ajout de millions de nouveaux appareils, de terminaux matériels, de milliards de lignes de code, ainsi que d'une infrastructure supplémentaire pour faire face à la charge, crée un vaste ensemble de défis, inégalés par tout ce que nous avons connu au cours des deux dernières décennies.

C'est pourquoi je ne suis pas un optimiste.

Je ne pense pas que l'industrie puisse appliquer beaucoup de leçons de sécurité à l'IoT, du moins pas assez rapidement, pas au cours des deux prochaines années. Dans mon esprit, l'analogie avec Internet est une erreur, simplement parce que l'Internet des années 90 n'avait pas à gérer des types de matériel aussi différents. Utiliser le cryptage et gaspiller des cycles d'horloge pour la sécurité n'est pas un problème sur les gros processeurs x86 ou les SoC ARM, mais cela ne fonctionnera pas de la même manière avec de minuscules appareils IoT avec une fraction de la puissance de traitement et une enveloppe de consommation d'énergie très différente.

Les processeurs plus élaborés, avec une matrice plus grande, ont besoin d'un emballage plus grand et doivent dissiper plus de chaleur. Ils ont également besoin de plus de puissance, ce qui signifie des batteries plus grosses, plus lourdes et plus chères. Pour gagner du poids et réduire l'encombrement, les fabricants devraient recourir à des matériaux et à des techniques de production exotiques. Tout ce qui précède entraînerait davantage de dépenses en R&D, un délai de mise sur le marché plus long et une nomenclature de matériaux plus importante. Avec des prix nettement plus élevés et une construction haut de gamme, de tels appareils pourraient difficilement être considérés comme jetables.

l'internet des objets - iot

Alors, que faut-il faire pour sécuriser l'IoT ? Beaucoup. Et tout le monde a un rôle à jouer, des géants de la technologie aux développeurs individuels.

Examinons quelques points de base, tels que ce qui peut être fait et ce qui est fait pour améliorer la sécurité IoT maintenant :

  • Mettre l'accent sur la sécurité dès le premier jour
  • Cycle de vie, pérennité, mises à jour
  • Contrôle d'accès et authentification des appareils
  • Connais ton ennemi
  • Préparez-vous aux failles de sécurité

Mettre clairement l'accent sur la sécurité dès le premier jour est toujours une bonne chose, en particulier lorsqu'il s'agit de technologies immatures et de marchés sous-développés. Si vous envisagez de développer votre propre infrastructure IoT ou de déployer une solution existante, faites vos recherches et restez aussi informé que possible. Cela peut impliquer des compromis, car vous pourriez avoir le choix de renforcer la sécurité au prix de compromettre l'expérience utilisateur, mais cela en vaut la peine tant que vous trouvez le bon équilibre. Cela ne peut pas être fait à la volée, vous devez planifier à l'avance et bien planifier.

Dans la ruée vers la mise sur le marché de nouveaux produits et services, de nombreuses entreprises risquent de négliger l'assistance à long terme. Cela arrive tout le temps, même dans les grandes ligues, nous nous retrouvons donc toujours avec des millions d'ordinateurs et d'appareils mobiles non corrigés et non sécurisés. Ils sont tout simplement trop vieux pour que la plupart des entreprises s'en soucient, et c'est encore pire avec les appareils IoT jetables. Les principaux fournisseurs de téléphones ne mettent pas à jour leur logiciel sur les téléphones vieux de 2 à 3 ans, alors imaginez ce qui se passera avec des appareils IoT à 20 $ qui pourraient être sur votre réseau pendant des années. L'obsolescence programmée en fait peut-être partie, mais la vérité est que la mise à jour d'anciens appareils n'a pas beaucoup de sens sur le plan financier pour le fabricant, car il a mieux à faire avec ses ressources. Les appareils IoT sécurisés devraient soit être sécurisés dès la conception et imperméables dès le départ, soit recevoir des mises à jour vitales tout au long de leur cycle de vie, et je suis sûr que vous conviendrez qu'aucune des options ne semble réaliste, du moins pas encore.

La mise en œuvre d'un contrôle d'accès sécurisé et d'une authentification de l'appareil semble être une chose évidente à aborder, mais nous ne traitons pas ici de votre appareil connecté moyen. Créer des contrôles d'accès et des méthodes d'authentification pouvant être mis en œuvre sur des appareils IoT compacts et bon marché sans compromettre l'expérience utilisateur ni ajouter de matériel inutile est plus difficile qu'il n'y paraît. Comme je l'ai mentionné plus tôt, le manque de puissance de traitement est un autre problème, car la plupart des techniques de cryptage avancées ne fonctionneraient tout simplement pas très bien, voire pas du tout. Dans un article précédent, j'ai examiné une alternative, l'externalisation du chiffrement via la technologie blockchain ; Je ne fais pas référence à la blockchain Bitcoin, mais à des technologies cryptographiques similaires qui sont déjà étudiées par plusieurs leaders de l'industrie.

Si vis pacem, para bellum – si vous voulez la paix, préparez-vous à la guerre. Il est essentiel d'étudier les menaces et les attaquants potentiels avant de s'attaquer à la sécurité de l'IoT. Le niveau de menace n'est pas le même pour tous les appareils et il y a d'innombrables considérations à prendre en compte ; quelqu'un préfèrerait-il pirater l'ours en peluche de votre fille, ou quelque chose d'un peu plus sérieux ? Il est nécessaire de réduire les risques liés aux données, de conserver autant de données personnelles que possible des appareils IoT, de sécuriser correctement les transferts de données nécessaires, etc. Cependant, pour faire tout cela, vous devez d'abord étudier la menace.

Si tout le reste échoue, préparez-vous au moins à d'éventuelles failles de sécurité. Tôt ou tard, ils arriveront, à vous ou à quelqu'un d'autre (enfin, de préférence un concurrent). Ayez toujours une stratégie de sortie, un moyen de sécuriser autant de données que possible et de rendre les données compromises inutiles sans détruire votre infrastructure IoT. Il est également nécessaire d'éduquer les clients, les employés et toutes les autres personnes impliquées dans le processus sur les risques de telles violations. Expliquez-leur ce qu'il faut faire en cas d'infraction et ce qu'il faut faire pour l'éviter.

Bien sûr, une bonne clause de non-responsabilité et un TOS vous aideront également si vous finissez par faire face au pire des cas.