III.4.2. Internet des
Objets : une plate-forme sécurisée pour éviter les
attaques
Le principe d'une plate-forme architecturale
sécurisée est de procurer aux développeurs une boîte
à outils capable d'aider à la création de systèmes
embarqués connectés sécurisés.
Fig.8. Architecture sécuriséecontre les attaques
malveillantes avec Windows Embedded comme principal OS.
A noter également que les objets nécessitent une
protection matérielle à la source, située encore plus bas
que la protection logicielle assurée par l'hyperviseur. Cette protection
matérielle à la source, dans sa version la plus simple, est un
dispositif inviolable de stockage à base de clé, qui
sécurise le démarrage de l'hyperviseur et des composants à
sécurité critique associés. La séquence de
démarrage doit, dans ce cas, impérativement utiliser la
clé pour vérifier la signature de ces composants avant de les
lancer.
La protection matérielle à la source peut donc
également être utilisée pour obtenir des attestations
à distance et assurer une protection plus rigoureuse des clés
utilisées afin de sécuriser les données inactives (data at
rest) et les données en transit (data in transit). Si un attaquant tente
d'écraser la mémoire flash du micro logiciel avec le code
malveillant, le démarrage sécurisé (secure boot) le
détectera et lancera alors une action correctrice. Une fois la
procédure de sécurité démarrée l'hyperviseur
embarqué dans l'objet peut exécuter si nécessaire des
mesures et contrôles récurrents sur les autres composants, y
compris sur les noyaux du système d'exploitation.
Les aspects sécurité sont portées dans ce
modèle par la notion de « capacités de
sécurité », qui sont de deux ordres :
génériques ou spécifiques. Les capacités de
sécurité génériques sont indépendantes des
applications. Elles comprennent :
- au niveau de la couche application :
l'autorisation, l'authentification, la confidentialité des
données d'application et la protection de leur intégrité,
la protection de la sphère privée, les audits de
sécurité et les anti-virus ;
- au niveau de la couche réseau :
l'autorisation, l'authentification, la confidentialité des
données utiles et des données de signalisation et la protection
de l'intégrité de la signalisation ;
- au niveau de la couche dispositif :
l'authentification, l'autorisation, la validation de l'intégrité
du dispositif, le contrôle d'accès, la confidentialité des
données et la protection de l'intégrité.
Les capacités de sécurité
spécifiques sont étroitement liées aux besoins propres
à une application donnée, par exemple les exigences de
sécurité associées aux paiements sur mobile.
Conclusion
Pour un fonctionnement optimal, des méthodes de nommage
interopérables semblent nécessaires. Il serait utopique
d'imaginer qu'une seule façon de nommer les objets va s'imposer. Elles
seront multiples mais devront être interopérables, tout comme les
formats d'échange des données, afin de faciliter leur
interprétation. Les interconnexions de réseaux permettront de
soutenir un DNS digne de ce nom.
La réglementation, l'aspect légal doit aussi
jouer un rôle ; il ne faut pas s'attendre à ce que les
standards répondent à toutes les questions, notamment en termes
de gouvernance. La réglementation peut pousser les acteurs à
avoir recours aux préférences non propriétaires, à
mettre en place des bonnes pratiques.
Enfin, dans la mesure où il est question de support
principalement « sans fil » pour les objets, la gestion
électromagnétique représente un enjeu important. Il ne
faut pas non plus négliger le respect de la vie privée dans la
gestion des données à caractère personnel. Les acteurs de
la RFID ont dû répondre à certaines questions à
travers des mandats et une future norme.
Les objets connectés posent également la
question de l'exposition des personnes aux rayonnements
électromagnétiques, surtout si l'on fait la somme de toutes les
sources d'émission.
| 
