La principale faille de sécurité de l'IoT

La qualité de la sécurité d'un réseau dépend de son élément le plus vulnérable. Pour de nombreuses applications, la plus grande vulnérabilité ne provient pas d'un algorithme ou d'un protocole. Trop souvent, il s'agit de l'utilisateur final.

En général, les utilisateurs n'ont pas l'intention de créer des problèmes ou d'exposer le réseau à des pirates informatiques extérieurs. Mais ils ont tendance à le faire accidentellement. Cela signifie qu'un utilisateur fait quelque chose qui va involontairement à l'encontre des mesures de sécurité qui sont en place. Par exemple, une serrure n'empêche personne d'entrer si l'utilisateur oublie de la verrouiller.

Il existe une règle de base à garder en tête concernant les personnes et la sécurité : s'il y a une faille, alors les utilisateurs s'y engouffreront. En outre, plus il y a d'utilisateurs, plus les risques (et la fréquence) de problèmes augmentent.

Prenons par exemple les nombreux piratages réseau qui commencent par une caméra en circuit fermé. Si certains de ces piratages exploitent des défauts de conception (par exemple, si vous mettez en place une porte dérobée dans votre sécurité, vous ne serez peut-être pas le seul à l'utiliser), la plupart reposent sur l'utilisateur. Ce qui nous amène à la deuxième règle : ne laissez aucune chance aux utilisateurs de menacer la sécurité.

Cette règle est particulièrement importante dans l'IoT, où des milliards de nouveaux appareils sont mis en ligne. Les personnes qui les installent ne peuvent pas être toutes des experts. Les meilleurs concepteurs partent donc du principe que les personnes qui utilisent leurs équipements ne sont généralement pas des experts. En fait, si vous concevez votre système de manière à ce qu'il soit sécurisé même si la personne qui l'installe a un comportement à risque, alors vous avez un système sécurisé. Certains développeurs diraient même que c'est la seule façon d'avoir un système sécurisé.

Pour les concepteurs IoT, cela signifie qu'il faut implémenter la sécurité à un niveau fondamental où l'utilisateur est impliqué le moins possible. Cela commence par la connectivité. Par exemple, l'article Sécuriser l'IoT avec LoRaWAN explore comment le protocole LoRaWAN basse consommation permet de sécuriser les données en tant qu'élément clé pour établir et gérer les communications sans fil. Il étudie plusieurs outils : la carte de découverte STM32 LoRaWAN de STMicroelectronics, le kit d'évaluation SAM R34 Xplained Pro de Microchip et le kit de prototypage rapide IoT de Renesas. Tous sont conçus pour aider les développeurs à rendre la sécurité IoT transparente.

Carte de découverte STM32 LoRaWAN de STMicroelectronics. (Source de l'image : STMicroelectronics)

Prenons l'exemple d'un nœud de capteurs simple. Un installateur peut avoir à déployer des centaines de ces capteurs dans un endroit en particulier. Pour garantir la sécurité du réseau IoT, le processus d'installation doit être irréprochable. Après tout, il suffit d'un seul nœud vulnérable pour mettre en danger l'ensemble du réseau. L'utilisation d'un protocole comme LoRaWAN peut exclure complètement l'utilisateur du processus d'installation. Par exemple, les nœuds peuvent être programmés en usine avec les informations d'authentification dont ils ont besoin pour accéder à un réseau en particulier. Cela représente une source d'erreur en moins pour l'installateur.

Il est vrai qu'à mesure que les données arrivent dans le cloud, il devient plus compliqué de garantir la sécurité. Cependant, la sécurité se met en place à partir des niveaux les plus bas du réseau avec les nœuds qui ne font que recueillir quelques données et les transmettre. La réduction des vulnérabilités au niveau des nœuds de capteurs en écartant autant que possible les utilisateurs vous permet de renforcer non seulement la sécurité globale, mais aussi la robustesse de votre système IoT.