Objets connectés, Internet des Objets et Internet de Tout arrivent en force. D’une manière ou d’une autre, et pour toutes sortes de raisons, nos outils et appareils du quotidien seront connectés à Internet. Face à l’explosion des appareils connectés, les experts en sécurité informatique voient se profiler une vague d’orages, de tsunamis et d’ouragans — inquiétude légitime, comme le passé l’a déjà démontré. Pressés d’ajouter cette connectivité, fabricants et revendeurs risquent d’en oublier les mesures de sécurité les plus élémentaires.
Avec les infrastructures PKI, Internet dispose déjà d’un cadre de confiance opérationnel, que vous pouvez voir à l’œuvre chaque jour, lorsque vous effectuez vos transactions en ligne. Il suffit d’observer la barre d’adresse de votre navigateur. Si une case verte apparaît à gauche, vous pouvez être à 99,9999 % certain que vous vous trouvez sur le bon site. Pourquoi pas 100 % ? Et bien, en tant que professionnel de la sécurité informatique, je sais pertinemment qu’aucun système n’est inviolable dès lors que l’on dispose du temps et des ressources suffisantes. Mais avec une PKI et des certificats correctement vérifiés, vous disposez des bases nécessaires pour une infrastructure digne de confiance.
Un certificat peut être utilisé pour identifier correctement quelque chose : un appareil, une application, un serveur, une personne, etc. La confiance est ancrée à l’autorité de certification (AC) émettrice et signataire du certificat. Dans le monde, il existe plusieurs AC réputées pour leur sérieux, dont GlobalSign. Chaque jour, des millions d’internautes font confiance à nos certificats.
Dans l’Internet des Objets, les certificats constituent d’excellentes alternatives pour identifier, entre autres, des appareils. Lorsqu’un constructeur fabrique un appareil, l’idéal serait d’émettre un certificat intégré à l’appareil, de préférence dans un environnement inviolable. Le certificat de l’autorité de certification émettrice doit également être installé. Les certificats à signature de code aident l’appareil à déterminer si la mise à jour logicielle reçue peut être installée en toute sécurité. Lorsque l’appareil communique avec les systèmes du vendeur, les certificats servent à identifier les parties qui communiquent, voire à crypter les données.
La première étape consiste à sécuriser la communication de l’appareil. La seconde serait de sécuriser l’accès de l’utilisateur à l’appareil. Et c’est à ce niveau que de nombreux vendeurs bataillent encore. Les appareils sont commercialisés avec un mot de passe par défaut. Les utilisateurs n’ont aucune obligation de modifier ces identifiants. Et s’ils le font, rien n’est fait pour les empêcher d’utiliser un mot passe basique comme « motdepasse1 ». Le mot de passe choisi pose déjà problème. De plus, nous en avons trop. Et quand le nombre d’appareils connectés explosera, nous serons frustrés d’avoir à en créer et en maintenir toute une flopée pour chacun de nos appareils et objets connectés.
Mais, si l’appareil prenait en charge de nouveaux protocoles comme OAuth, les sources d’authentification tierces (des identités sociales aux identités de confiance) pourraient facilement être autorisées. L’installation et l’activation de l’appareil pourraient se faire via un portail mis en place par le vendeur et sur lequel le propriétaire associerait son identité existante à l’appareil ; cela reviendrait à coupler le certificat de l’appareil avec l’identité de l’utilisateur. Simplicité d’utilisation et expérience utilisateur sont les maîtres mots. Pour être pleinement satisfaits, les utilisateurs doivent pouvoir utiliser leurs identités existantes pour accéder aux appareils, ou bien des données qu’ils ont déjà générées à partir d’un élément simple qui leur est familier. C’est là l’un des avantages des solutions de gestion des accès et des identités (IAM) pour l’Internet des Objets.
On a parfois plusieurs utilisateurs pour un appareil, mais généralement un seul propriétaire. Il faudrait donc que le propriétaire puisse autoriser les autres à effectuer diverses tâches. Prenons l’exemple, très parlant, du verrou intelligent. Appelons le propriétaire du verrou « papa ». Papa doit pouvoir autoriser d’autres identités à ouvrir le verrou. Pas uniquement les membres de la famille, mais un électricien, un ami de la famille, ou une autre personne. Supposons que le réfrigérateur familial soit un modèle intelligent connecté à Internet et à votre épicerie locale en ligne. Papa doit pouvoir autoriser les autres membres de la famille à commander des articles pour la prochaine livraison. Il doit également pouvoir restreindre les commandes pour éviter que le congélateur ne soit rempli que de crème glacée. Les appareils connectés et les services en ligne reliés à ces appareils doivent être dotés de fonctionnalités d’autorisation flexibles.
Le trio gagnant ? Autorisation – Identité – Sécurité des appareils – AIS.
GlobalSign combine des technologies d’infrastructures PKI pour gros volumes avec des solutions IAM primées pour offrir aux acteurs de l’IoT un package complet afin de sécuriser leur solution, d’améliorer l’expérience et la satisfaction client, et de garantir l’évolutivité. Appelez-nous vite pour en savoir plus.
