Internet des objets : la sécurité plus problématique que sur Internet
Les objets connectés ne gèrent en général pas d'horloge interne. Il en résulte un risque particulier pour les attaques en force brute.
PublicitéLorsqu'on aborde la question de l'Internet des Objets (Internet of Things - IoT), on néglige souvent le fait que de nombreuses applications IoT ne prennent pas en compte la notion de temps, ce qui constitue un problème de sécurité. En effet, ces applications ne disposent pas d'horloge intégrée, d'accès à des services temporels ou de mécanisme permettant de synchroniser l'ensemble « infrastructure-objet ».
C'est une véritable menace pour la sécurité. La plupart des protocoles d'authentification utilisent la limitation du nombre de tentatives pour se protéger contre des méthodes brutales d'intrusion. Ils limitent le nombre de nouvelles tentatives d'accès au cours d'une période donnée, comme c'est le cas pour les postes de travail ou les comptes de messagerie.
Cependant, il ne suffit pas d'empêcher ou d'autoriser les accès pour garantir la sécurité. Il faut surveiller qui accède à quelle ressource et surtout quand. En l'absence de services temporels, les mécanismes utilisés par les architectes de sécurité pour identifier les événements sont loin d'être optimaux?
L'Internet des Objets remplace les humains par des objets. Nous savons sécuriser les répertoires gérés par des humains (notamment avec le protocole LDAP), les réinitialisations de mot de passe effectuées par des humains, et plus important encore, la connectivité humain-client via des protocoles http requête-réponse.
Tout cela est impossible avec les objets connectés. Pour éviter des failles de sécurité aux conséquences dramatiques, les ingénieurs informatiques doivent trouver des solutions de rechange et inventer de nouveaux protocoles et mécanismes. Si votre réfrigérateur intelligent avait des problèmes de connexion, votre vie quotidienne n'en serait pas fondamentalement affectée. A l'inverse, certains dysfonctionnements pourraient avoir un impact dévastateur dans un environnement professionnel : interruption de toute une chaîne d'approvisionnement à cause d'un échec de connexion des dispositifs de suivi, arrêt d'un programme de santé pour cause de panne des dispositifs médicaux ou plantage d'un programme de régulation du trafic lié à la connectivité défectueuse des véhicules...
Nest et Google s'intéressent maintenant au comportement des individus à leur domicile soulevant ainsi une nouvelle fois un problème de confidentialité des données. Peut-être accepterons-nous que Google accède à ces données, tout comme nous lui permettons de surveiller nos e-mails personnels ? Au-delà de ces questions de confidentialité, nous sommes en droit de mettre en oeuvre diverses mesures de sécurité, dont certaines ne doivent faire l'objet d'aucun compromis.
Article rédigé par
Antoine Rizk, Vice-président des marchés verticaux chez Axway
Antoine Rizk en tant que Vice-Président pour les programmes de mise sur le marché, a pour responsabilité de développer la stratégie globale et les processus liés à la mise sur le marché des produits, pour l'intégralité des offres B2B et API. Avec plus de 30 ans d'expérience dans le secteur des NTIC et du marketing, dont 8 années passées chez Axway en tant que vice-président marketing produits et solutions, Antoine Rizk apporte une véritable expertise métier et connaissance technologique des problématiques auxquelles font face les entreprises. Par ailleurs, Antoine Rizk a précédemment occupé de nombreux postes managériaux notamment comme fondateur de plusieurs start-up, associé dans un cabinet de conseil, mais aussi en tant que chercheur et professeur à l'université.
Antoine Rizk est titulaire d'un doctorat et d'une licence en informatique, deux diplômes obtenus à University of Sussex en Angleterre.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire