Objets connectés, serez-vous dignes de confiance ?

L’Internet des objets fascine par les chiffres annoncés : 50 milliards d’objets connectés d’ici cinq ans, soit plus de six objets par être humain ! La sécurisation de ce nouveau monde numérique porte en elle un enjeu essentiel : la question de savoir qui, de l’objet ou de l’utilisateur, contrôlera cette sécurité ?

Pour le dire d’un trait : si les individus ne sont pas au centre de l’Internet des objets (IoT), l’échec en sera inévitable. Le marché des objets connectés ne se développera qu’en créant du lien entre objets et individus, données et usages, et en confiant la sécurité aux usagers eux-mêmes.

Le changement n’est pas d’ordre technique

La sécurité de l’IoT n’a rien de nouveau en soi : les concepts et méthodes classiques s’y appliquent. Ce qui reste au cœur des enjeux : s’assurer que chaque personne puisse avoir confiance dans le niveau de protection de ses informations, et ait une bonne idée de l’usage qui en est fait. Ce que l’on peut résumer par le clin d’œil : « vivre sous le régime de la CIA » (confidentialité, intégrité, accès).

En entreprise, la sécurisation se fonde essentiellement sur une approche par rôle (RBAC, Role Based Access Control). La donnée appartient à l’employeur et, selon la fonction et le niveau hiérarchique, l’utilisateur se voit accordé des droits d’accès, de modification, de diffusion. Cette sécurité traditionnelle est centralisée, le rôle étant défini par l’entreprise. Efficace, c’est souvent de ce modèle que l’on s’inspire.

Dans le grand public, c’est la loi qui détermine le cadre. Ainsi en théorie, la donnée appartient à l’utilisateur, qui doit pouvoir décider de quels logiciels accèdent à ses informations et quel usage en est fait, assurant ainsi le respect de sa vie privée. C’est ce que la loi est censée garantir en contexte centralisé.

Je dis « censée », car c’est là que le bât blesse dans le monde des objets connectés. Sécuriser l’Internet des objets n’est pas tant un sujet de technologie que de gouvernance : comment faire en sorte que chaque utilisateur détermine les règles d’utilisation, en son nom propre, ou en confiant cette mission à des tiers de confiance ? Comment faire en sorte que les besoins de sécurité soient exprimés par les personnes (citoyens, consommateurs) et non imposés par les objets ?

Clarification

L’Internet des objets nécessite donc une clarification. Si les « droits de l’homme connecté » étaient rédigés aujourd’hui, devraient y figurer :

  • L’information en temps réel sur les objets qui sollicitent un accès à ses données personnelles.
  • Une vue d’ensemble des données collectées, de leur usage et de leur degré de risque.
  • Le choix des méthodes d’authentification (clé de chiffrement, biométrie).

Facebook a pris les devants en offrant à son milliard d’utilisateurs une vue d’ensemble sur leurs informations publiées, facilitant ainsi le contrôle entre ce que chaque personne souhaite exposer en mode public, ou souhaite restreindre à ses « amis ». Cette démarche fonde la confiance sur deux socles essentiels : la transparence et le choix individuel.

Transparence en sachant à tout moment quelle est l’exposition de ses données personnelles. Pouvoir d’agir à tout moment pour restreindre, voire bloquer, leur utilisation. Transposé à l’IoT, cela nécessite de fédérer les parties prenantes : constructeurs, éditeurs d’applications, opérateurs de services et de plates-formes Internet.

Travaux en cours

Cet environnement reste à construire. Certains s’y lancent déjà. Il nécessite un renversement des architectures de contrôle de la sécurité et une réelle lisibilité sur ce qui est fait des données personnelles collectées par les objets. Sans cela, l’Internet des objets aura beau afficher des sécurités techniques, il n’inspirera pas toujours confiance et ne produira pas la valeur attendue. Il faut donc changer de modèle, afin que la sécurité relève du choix de chaque utilisateur. Passer d’une vision centralisée de la sécurité à un monde à la fois totalement décentralisé et pourtant plus sécurisé.

Idéalement, toute personne devrait pouvoir choisir le ou les tiers de confiance numériques qui centraliseront l’accès à ses données personnelles et leur usage. Les candidats à un tel rôle ne manquent pas, des plates-formes Internet aux opérateurs de télécommunications ou postaux, en passant par les entreprises de service internationales.

Cette nouvelle approche de la sécurité est bien plus fondamentale du point de vue de la libre utilisation de l’Internet des objets que le concept d’objet connecté lui-même. Reste à la mettre en œuvre.

  • Retrouvez-nous sur les réseaux sociaux
  • Twitter
  • Youtube