Aperçu des promesses et des pièges des objets connectés

Byron Acohido 12 sept. 2019

Le profilage détaillé des comportements ouvre la voie à de nouveaux modes de vie numériques alors que la confidentialité et la sécurité soulèvent de grandes questions.

La ville de Portland (Oregon), a décidé d’exploiter pleinement l'Internet des Objets (ou IoT, pour « Internet of Things ») et de devenir une ville modèle « connectée ».

La ville a récemment déboursé 1 million de dollars (environ 910 000 euros) pour le lancement de son projet de sécurité basé sur un capteur de circulation localisant les cyclistes qui parcourent les nombreuses pistes cyclables de la « Cité des roses ». C’est la première étape d’un vaste plan visant à étudier de près et à gérer de manière proactive les comportements des cyclistes, des véhicules, des piétons et des joggeurs sur la route. Tout cela dans l'objectif ambitieux d'éliminer tous les accidents graves ou mortels.

Portland place la barre haute et elle n’est pas la seule. Des entreprises du secteur public, des transports et de la fabrication se dirigent vers l’Internet des Objets Industriels (IIoT). Des projets visent actuellement à relier encore plus de capteurs sur Internet. L’intérêt est de collecter de grandes quantités de données opérationnelles pour réaliser une analyse comportementale avancée.

Il en va de même pour les entreprises de biens de consommation. Nos domiciles et espaces de travail sont en passe de devenir toujours plus connectés. Il semblerait que toutes les entreprises essaient de profiter de l’IoT pour ajouter de la valeur à leurs opérations.

Ce qui pose problème, c’est que d’importantes lacunes en matière de confidentialité et de sécurité n’ont pas encore été réglées. Des milliards de nœuds informatiques et de capteurs connectés à Internet alimentent en données des systèmes d’analyse. Et des milliards d’autres appareils connectés vont surgir. Cette tendance multiplie les risques de deux effets indésirables : la surveillance invasive et l'exposition accrue aux pirates.

La bonne nouvelle, c’est que les chefs d'entreprise et les dirigeants politiques sont conscients qu’il faut résoudre ces problèmes de confidentialité et de sécurité de manière globale si le monde des objets connectés veut pleinement s’épanouir. Il sera crucial de sensibiliser le public et de faire preuve de transparence. Cela dit, voici ce que les consommateurs et les entreprises doivent comprendre à propos l’Internet des Objets.

Historique

Le technologue Kevin Ashton a inventé l'expression « Internet of Things » (Internet des Objets) en 1999. Bien avant, vers le début des années 1980, on avait déjà étudié des moyens d’utiliser des capteurs (en les ajoutant à des distributeurs automatiques, par exemple). Mais la technologie n’était tout simplement pas prête.

Puis les puces RFID (identification par radiofréquence) ont fait leur apparition. Il s’agit d’une technologie qui utilise de petites étiquettes, ou des puces, pour transmettre des informations à un scanner proche. À la base, les puces RFID avaient été déployées pour suivre la trace des wagons de chemin de fer. Ensuite, on les a retrouvées dans des badges d’employés, des systèmes de comptage des stocks chez les détaillants et même sur des passeports américains. On pouvait se faire une idée de ce qui allait suivre. Avec les progrès de la technologie numérique, les capteurs sont devenus minuscules et se sont banalisés. Les serveurs virtuels et l'informatique sur le cloud (on parle aussi d’information en nuage) se sont développés, le stockage de données est devenu presque illimité, et l'analyse de données s'est améliorée.

Entre-temps, les leaders du secteur technologique ont mis au point l’Internet Protocol version 6 (IPv6), le standard d’adresse de protocole Internet de nouvelle génération. L’IPv6 garantirait suffisamment d'adresses IP pour prendre en charge des milliards de capteurs IoT. Puis sont apparues les technologie sans fil 4G et 5G. Cette dernière devrait ouvrir la voie à de nouveaux modèles commerciaux reposant sur des milliards de capteurs IoT récemment déployés et communiquant via des connexions 5G.

Échelle

L'Internet des Objets consiste essentiellement à collecter et à analyser des données provenant de milliards de capteurs, placés dans tous les endroits possibles et imaginables : dans une pilule, dans une montre-bracelet, dans un réfrigérateur, dans un thermostat voire dans le plancher d'une usine. Et ce n’est qu'un début, sachant que certains prédisent que d'ici cinq ans, circuleront des voitures et des camions entièrement autonomes. Chaque capteur IoT ajoute un fragment d’information qui rend progressivement l’appareil lui-même, et le système dans son ensemble, plus intelligents qu’ils ne pourraient l’être l’un sans l’autre.

À quelle hauteur l'architecture IoT peut-elle être mise à l'échelle ? Beaucoup, beaucoup plus haut. La tendance se développe sur plusieurs fronts. La société de recherche technologique Gartner prédit que d'ici 2020, on recensera 25 milliards d'appareils connectés qui seront utilisés avant fin 2021, contre 14 milliards à la fin de l’année 2019.

Le cabinet de conseil en management international Bain & Company, basé à Boston, a annoncé l'année dernière que les grandes entreprises restaient confiants quant à l'Internet des Objets, même si leur enthousiasme était tempéré. Elles auraient apparemment compris que les solutions complètes prendraient plus de temps que prévu à être implémentées et à générer du profit. Toutefois, Bain s'attend à ce que les marchés liés à l’IoT (appareils, logiciels, intégration de systèmes, services de données et de télécommunications) atteignent 520 milliards de dollars (environ 472 milliards d’euros) en 2021, soit plus du double des 235 milliards de dollars (environ 472 milliards d’euros) dépensés en 2017.

Il se pourrait bien que Portland fasse partie des villes qui se lancent dans les magasins connectés. Selon Knud Lasse Lueth, fondateur et PDG de IoT Analytics, une société de conseil basée à Hambourg (Allemagne), la tendance des villes connectées est à la hausse et représente un cinquième des projets IoT annoncés publiquement, et ce dans de nombreuses villes d'Europe.

Confidentialité

Lorsque le FBI a demandé au PDG d’Apple, Tim Cook, de fournir un code permettant de déverrouiller l’iPhone du terroriste de San Fernando, celui-ci a refusé. Il a été félicité pour son respect de la vie privée. Si le FBI a cédé, c'est seulement parce qu’il a trouvé un pirate informatique capable de cracker le smartphone du tireur.

Le désaccord entre Apple et le FBI ont mis en lumière cette question : les responsables de l'application de la loi et les militaires devraient-ils avoir accès à une porte dérobée (« backdoor ») numérique leur permettant de contourner tous les types de chiffrement existants ?

D’autres leaders du secteur technologique soutiennent la position de Cook, se ralliant aux défenseurs de la vie privée et des droits civils qui soutiennent que c'est une très mauvaise idée. En effet, les systèmes de chiffrement des portes dérobées tomberaient certainement entre les mains de criminels, ou pire encore, entre celles d’un dictateur souhaitant soutenir un régime totalitaire.

Le potentiel effrayant de l'Internet des Objets rend discutable l’idée d’un chiffrement spécialement conçu pour les backdoors. Car cela se ferait en renforçant sa capacité de surveillance non détectée et en introduisant une multitude de nouveaux niveaux de portes latérales faciles à pirater. En résumé, l'IoT fournirait encore plus de moyens aux criminels, aux dictateurs et aux forces de l'ordre pour envahir la vie privée d'un particulier ou d'une organisation.

Toujours dans le domaine de la confidentialité, imaginez ce que l'IoT pourrait permette aux entreprises qui se livrent à des pratiques de marketing prédatrices, ainsi qu'à des idéologues et à des propagandistes. Avec l’IoT, ceux-ci disposeraient d'une intelligence comportementale toujours plus détaillée et pourraient davantage manipuler des individus et des groupes de personnes partageant les mêmes idées, quel que soit leur ordre du jour.

Les détaillants utilisent déjà la technologie Bluetooth et les logiciels de reconnaissance faciale pour établir le profil des acheteurs qui entrent dans leurs magasins afin de leur envoyer des promotions pendant qu’ils font leurs achats. De même, on peut configurer des capteurs dans un foyer connecté, afin de détecter toutes sortes de données comportementales monétisables. Dans l'état actuel des choses, les fabricants de montres connectées ne sont pas loin de surveiller la fréquence cardiaque d'un couple afin de déterminer la fréquence de leurs rapports sexuels, par exemple.

Sécurité

De nos jours, la plupart des appareils connectés sont lancés sur le marché avec une marge bénéficiaire faible et un niveau de sécurité négligeable. Cependant, tout nœud informatique, même le plus petit des capteurs, s'il est détectable sur Internet et connecté à un réseau plus large, représente un nouveau vecteur d’attaque, qui n’attend que d’être exploité.

L’affaire de l’aquarium piraté nous le démontre clairement. Des pirates informatiques ont violé le réseau d'un casino américain en piratant un aquarium équipé de capteurs qui recueillaient des données sur la température, la nourriture et la propreté. Puis ils ont envoyé ces informations à un ordinateur connecté à Internet. Le piratage de l’aquarium n’est qu’un microcosme. L’IoT permet de plus en plus de piratages. Il est clair que les plus grands groupes de piratage criminel ont identifié cette opportunité et que la détection et le piratage via l’IoT font désormais partie de leur actions.

Selon un rapport récent de Cequence Security, une startup de Sunnyvale (Californie), qui aide les entreprises à repousser les attaques par botnet : entre le premier trimestre et le deuxième trimestre 2019, le nombre de communications malveillantes provenant d'adresses IP résidentielles aux États-Unis (réfrigérateurs connectés, portes de garage ou encore routeurs domestiques) a presque quadruplé pour les secteurs de la vente au détail et des services financiers.

Les entreprises subissent des dommages matériels. Selon l'étude sur l'état de la sécurité IoT en 2018, sponsorisée par l’autorité de certification DigiCert, un quart des organisations de cinq pays ont déclaré des pertes d'au moins 34 millions de dollars (environ 31 millions d’euros) liées à la sécurité de l'IoT au cours des deux dernières années. De même, l'entreprise de sécurité logicielle Irdeto, a interrogé 220 décideurs de la sécurité dans les secteurs de la santé, des transports et de la fabrication : 80 % d'entre eux ont été victimes d'une cyberattaque sur leurs appareils connectés au cours de la dernière année, causant en moyenne 330 000 dollars (environ 300 000 euros) de pertes.

Les cybercriminels ont rapidement compris que les systèmes connectés introduisaient de nouvelles couches de complexité réseau. Cela se traduit souvent par des surfaces d'attaque plus étendues ancrées sur des anciens réseaux mal défendus.

« Dans le monde actuel, on compte en moyenne trois appareils connecté par être humain. Outre les smartphones et les téléviseurs intelligents, cela inclut des thermostats connectés, des capteurs dans les automobiles, des dispositifs médicaux et des contrôles industriels complexes faisant fonctionner les centrales et les usines », déclare Mike Nelson, vice-président de IoT Security de DigiCert. « Les entreprises ne peuvent pas y échapper. Elles doivent s’attaquer de front aux expositions sans précédent résultant de cette menace grandissante. »

Solutions

Alors, où allons-nous ? Comme je l’ai indiqué, le secteur technologique et les dirigeants politiques sont conscients qu’il s’agit d’un problème complexe qui requiert des solutions de fond. Le Congrès des États-Unis suscite actuellement de vives inquiétudes, chez les deux partis quant à l’adoption d'une nouvelle loi fédérale sur la confidentialité. Jusqu'à présent, les critiques visaient principalement les géants du e-commerce et des réseaux sociaux. Mais on a aussi parlé de limiter les détaillants traditionnels dans leur utilisation des données collectées par l'IoT.

Comme on pouvait s'y attendre avec l’apparition de nouvelles règles fédérales, le secteur privé s'est emparé des postes de combat et a déployé les mécanismes habituels pour parvenir à l'autorégulation. Les fondateurs d’IoT Cybersecurity Alliance (Alliance pour la cybersécurité IoT) comme AT&T, IBM, Nokia ou encore Qualcomm, sont les fers de lance de cette lutte.

« À la vitesse à laquelle évolue l’écosystème IoT, les préoccupations relatives à la mise en œuvre, à la transparence et à la sécurité prennent une ampleur considérable », explique le narrateur dans une vidéo expliquant les objectifs du groupe. « Même si nous sommes d’accord sur le fait que l’IoT peut être un défi, nous imaginons un écosystème IoT hautement sécurisé, que les entreprises pourraient pleinement adopter, de manière à équilibrer croissance et sécurité.

Pour promouvoir cette vision, nous avons créé un réseau de collaboration regroupant certaines des plus grandes entreprises, fournisseurs et experts de l'IoT. Ensemble, nous pensons que pour adopter et protéger l’écosystème IoT, tout réside dans l’éducation, la collaboration et l’innovation. »

Ce sera fascinant d’observer comment seront résolues les questions relatives à la confidentialité et à la sécurité, à quelle vitesse à quelle ampleur. À l'avenir, un certain niveau de pratiques d'hygiène IoT pourrait s’avérer nécessaire. Les consommateurs devront peut-être s'habituer à reconnaître, configurer et mettre à jour certains appareils IoT à risque.

Aux États-Unis, Avast a récemment lancé Omni, un nouveau produit de sécurité pour protéger les réseaux Internet des particuliers. Celui-ci protège tous les appareils connectés au foyer ou en déplacement en se connectant au routeur domestique existant. Je m'attends à ce que des services de sécurité IoT plus centrés sur le consommateur apparaissent au fil du temps.

Tout ce que nous avons connecté à Internet (ordinateurs de bureau, ordinateurs portables, navigateurs, smartphones, applications mobiles, serveurs virtuels, services cloud, etc) a été conçu avec la fonctionnalité et la commodité des utilisateurs pour priorités, au détriment de la sécurité. Et à chaque fois, ce sont les consommateurs et les entreprises qui doivent prendre des mesures et s’organiser pour assurer leur propre protection.

Rien de nouveau, mis à part le fait que les enjeux semblent toujours plus importants. À bientôt pour d’autres discussions !

--> -->