L'étude de l'internet des objets et contrôle d'accès aux données.

III.3. L'Internet des Objets comme système socio-technique

Les processus d'appropriation en local seront déterminants quant à la forme et aux modalités que prendront les usages de l'Internet des Objets. Ils emprunteront certainement d'autres formes que celles qui sont aujourd'hui imaginées par les chercheurs et les entreprises. D'ores et déjà certaines innovations dépassent la plupart de prévisions. Ainsi, pour ne donner qu'un exemple, une société japonaise a développé un système (Sekai camera) qui permet, via un iPhone, de prendre connaissance du menu d'un restaurant, ou des caractéristiques d'un produit en pointant le téléphone en direction de la boutique ou de l'objet. Dès que le téléphone capte les données, un petit film ou un message apparaît sur l'écran de l'iPhone. Il n'est même plus nécessaire de lancer une recherche pour accéder à l'information, il suffit de pointer son téléphone vers la vitrine d'un restaurant. Le défi est alors de définir des principes et des cadres de régulation qui permettront d'orienter les usages, ou tout au moins d'empêcher certains comportements dangereux pour les libertés individuelles et les démocraties, tout en préservant les capacité d'innovations issues de l'Internet des Objets.

III.4. Sécurité de l'Internet des Objets

L'Internet des Objets (IdO) est synonyme de nombreuses fonctions innovantes porteuses de débouchés inédits, mais ce marché draine d'énormes risques à gérer liés à la sécurité et à la confidentialité des données sur les réseaux. Conséquences, les développeurs de l'Internet des Objets doivent sécuriser leurs systèmes et les immuniser contre des cyberattaques. La stratégie pour y parvenir consiste à s'appuyer sur une plate-forme dotée de protections matérielles et logicielles à la source^16(*).

Contenus dans le terme Internet des Objets, les " Objets " ne sont ni plus ni moins que des systèmes embarqués classiques, avec en plus une connexion Internet, par voie directe ou bien via une passerelle. Cette connectivité apporte de nombreuses fonctionnalités, mais elle engendre dans le même temps des risques accrus pour la sécurité en raison de la possibilité d'y accéder à distance. Pour comprendre ces enjeux, on peut comparer les systèmes embarqués classiques et les objets connectés. Dans le premier cas, la plateforme architecturale est simple. C'est un système d'exploitation embarqué implémenté sur un circuit intégré électronique avec des BSP (Board Support Package) ad hoc et des applications. Résidant au-dessus de l'OS, ces applications utilisent son interface d'applications (API) pour exécuter diverse fonctions localisées telle la communication interprocessus (IPC).

Fig.5. Plate-forme architecturale typiqued'un système embarqué

Par opposition, la plate-forme architecturale des objets connectés a fréquemment recours à la virtualisation à différents endroits de la pile logicielle. En haut de la pile, l'existence du Web fait que bon nombre résidentes sont remplacées par des applications distantes. Celles-ci sont invoquées par des appels de procédure à distance (RPC, Remote Process Control) en lieu etplace des communications interprocessus (IPC), et mettent à profit des API Web en lieu et place des API du système d'application. En bas de la pile, l'électronique elle-même est dotée de technologie de virtualisation, autorisant les concepteurs à intervertir plus facilement les systèmes d'exploitation ou à combiner plusieurs d'entre eux au-dessus d'un même circuit.

Fig.6. Plate-forme architecturalevirtualisée

III.4.1. La Protection de données

Pour la sécurité dans le nuage, l'une des erreurs à éviter par les fournisseurs de solutions consister à consacrer tous leurs investissements à fortifier le centre de traitement des données bunkers souterrains, gardes armés, contrôlés d'accès et dispositifs de sécurité électroniques pour protéger le réseau en négligeant de sécuriser les points d'accès, à distance au centre de données.

Dans le monde de l'Internet des Objets, c'est la même problématique, mais avec une multiplication exponentielle des points d'accès dont le nombre peut atteindre plusieurs milliards. Or les attaquants cherchent toujours un maillon faible dans les systèmes informatiques et les objets non protégés vont devenir une cible de choix pour ces derniers. Car une fois un objet sous leur contrôle, les attaquants s'en servent pour accéder à l'intérieur des centres de données, avec la possibilité de récupération de données très sensibles liées à la santé, aux activités sociales, à la vie privée, etc.

A titre d'exemple, des chercheurs d'une Université Américaine dans le domaine de la sécurité ont identifié un réseau Zombie (botnet) constitué d'une myriade d'appareils électroménagers intelligents (réfrigérateurs, aspirateurs...) dont les microcontrôleurs étaient contrôlés à l'insu de leurs utilisateurs par un groupe de hackers.

Une autre erreur fondamentale commise dans l'informatique en nuage selon certains experts en sécurité informatique, consiste à croire qu'une liaison HTTPS entre le dispositif d'accès et le nuage est suffisante pour protéger les informations traversant le Web. Or, à mesure que l'Internet des Objets devient plus complexe, il est impossible aux développeurs d'appréhender le nombre de données qui circuleront sur le net et de savoir si les divers systèmes sur le parcours sont dignes de confiance.

Fig.7.https et la protection des données

Il est en fait quasi impossible aux développeurs d'applications embarqués dans les objets de s'assurer de la qualité de contrôles de sécurité mis en place par tous ces acteurs. Conséquence, il devient nécessaire d'adopter une stratégie zéro confiance en estimant que le nuage est intrinsèquement dangereux. Si le système sur lequel on travaille génère des données reliées au nuage, alors il est impératif de protéger ces données, qu'elles aient ou non des chances de circuler sur le Web.

* ¹⁶ Philippe Gonzalez, L'Internet des Objets, mais en mieux, Ed. AFNOR, 2011, P23