Des dispositifs IdO sécurisés grâce à la suppression des identifiants statiques
L’Internet des Objets (IdO) n’est pas un Internet distinct, mais désigne plutôt des voies de l’Internet sur lesquelles de simples appareils partagent des données. Parmi ces dispositifs, citons les équipements pour usines intelligentes, les systèmes de suivi d’inventaire sans fil, les appareils ménagers intelligents et les scanners de cybersécurité biométriques. Toutefois, la connexion de ces différents dispositifs à l’Internet a créé d’énormes failles de sécurité inattendues. Les dispositifs IdO sont connus pour être vulnérables au piratage. Outre une longue liste de vulnérabilités partagées avec les serveurs Web, ils pâtissent également d’une authentification insuffisante, qui permet aux unités piratées de pirater à leur tour d’autres dispositifs. Ce problème est appelé machine zombie et entraîne généralement des attaques de type «déni de service». Une deuxième faiblesse majeure des dispositifs IdO est qu’ils sont trop simples au niveau informatique pour exécuter des logiciels de défense avec chiffrement. Jusqu’à récemment, ils ne disposaient effectivement d’aucune protection.
Des attaques onéreuses
Près de la moitié de toutes les entreprises qui utilisent des dispositifs IdO ont subi des failles de sécurité majeures qui ont affecté leur chiffre d’affaires. Comme de telles violations engendrent chaque année plus de 5 billions d’euros de pertes, l’industrie informatique a commencé à prendre le problème au sérieux. En outre, la Commission européenne a adopté son Règlement général sur la protection des données (RGPD), qui, à partir de 2018, impliquait de lourdes sanctions pour les entreprises non conformes. Néanmoins, assurer une réelle sécurité nécessite davantage qu’une simple dissuasion financière. Le projet ELIoT Pro, financé par l’UE, a développé une solution fiable en remplaçant une faiblesse clé de l’IdO liée aux mots de passe fixes par un mot de passe à usage unique utilisé dans le protocole d’authentification de l’administrateur système IdO ainsi que pour l’authentification et le chiffrement D2D (device-to-device). Ces protocoles sont également conçus pour être très légers sur le plan informatique, et conviennent même aux dispositifs IdO les plus simples.
Pour en finir avec les identifiants statiques
«Les mots de passe et autres identifiants statiques, comme la biométrie, s’ils ne sont pas gérés correctement, sont des failles bien connues et largement exploitées», explique le coordinateur du projet Jack Wolosewicz. «Quatre-vingts pour cent de tous les piratages exploitent ce type d’identifiants.» Pour éviter cela, l’équipe du projet a éliminé le besoin de tels identifiants statiques, et par conséquent les vulnérabilités y afférentes, en les remplaçant par des jetons de transaction uniques qui expirent dans les 200 ms. S’il n’y a pas de mot de passe, les pirates n’ont rien à voler. Cela neutralise les risques d’hameçonnage ou d’attaques de l’homme du milieu. Ainsi, 80 % de toutes les menaces pour les communications homme-machine, comme celles entre un administrateur système et des panneaux de contrôle IdO, sont éliminées, et le protocole de chiffrement du projet supprime les 20 % de menaces restants. Le protocole fournit un chiffrement puissant qui fonctionne néanmoins sur des dispositifs très simples. Cela est réalisé en utilisant une solution logicielle qui sécurise la transmission des données et l’authentification des dispositifs pour les communications de machine à machine. Un autre aspect du système ELIoT Pro est l’auto-réparation, rendue possible grâce à l’analyse prédictive de l’intelligence artificielle. Donc, le système est capable de détecter une activité anormale, y compris les cyber-attaques, tout en pouvant anticiper les pannes des dispositifs ou les pannes système. «Le concept d’ELIoT Pro en fait une solution universelle pour la mise en réseau IdO. Quelle que soit l’industrie», ajoute Jack Wolosewicz. «Notre système est actuellement utilisé pour l’IdO industriel, les bâtiments intelligents, les maisons intelligentes et les applications des villes intelligentes. Il n’existe aucune autre solution “tout compris” comparable à la nôtre.» L’équipe du projet a donc conclu des accords avec des grandes entreprises dans chacun de ces secteurs. En guise de prochaine étape, les chercheurs tenteront de conclure d’autres accords de ce type, tout en développant les ventes et le marketing du projet.
Mots‑clés
ELIoT Pro, IdO, chiffrement, mots de passe, identifiants statiques, sécurité, Internet des Objets, mot de passe à usage unique, jeton de transaction, intelligence artificielle, auto-réparation.