Internet des objets connectés 3/3 - Consept

Internet des objets connectés 3/3

Sécurité des objets connectés

L’affaire « Strava »

  •    En janvier 2018 est révélé le fait que l’application de fitness Strava a dévoilé des bases militaires secrètes américaines.
  •    Cette fuite est due au partage de cartes des parcours d’entraînements empruntés par ses utilisateurs à partir de leurs bracelets connectés Fitbit, à travers l’exploitation de 10 To de données collectées entre 2015 et 2017.
  •    Or des bracelets avaient été distribués gratuitement par le Pentagone à 2,500 personnels.
  •    Dans des zones « noires » (zéro activités) d’Irak, de Syrie ou du Niger, non seulement des taches lumineuses apparaissent, permettant de déduire avec précision non seulement la localisation mais jusqu’à la configuration des bases militaires !

« Heatmap » de Strava, réalisée à partir des parcours des utilisateurs de cette application. Ici, une carte de Moscou.

 

 

Un exemple d’infrastructure mise en relief par les « heatmaps » de Strava

La sécurité des objets connectés

  •    On peut distinguer 4 grands axes dans les enjeux de sécurité des objets connectés militaires :
  •    La localisation du signal / des signaux, qui permettrait de géolocaliser les porteurs des équipements.
  •    L’interception des signaux qui permettrait de capter des flux de data, voire de les modifier, soit via l’objet soit par la compromission de l’intégrité du réseau de communication.
  •    L’exploitation des données stockées, susceptibles d’apporter des éléments critiques d’appréciation (doctrine d’emploi, ciblage, ressources, etc.).

 

Exemple : dès 2015, l’armée chinoise interdit les objets connectés (montres de type Apple Watch, lunettes) dans ses rangs, craignant le cyber-espionnage. Régulièrement, les médias officiels accusent des entreprises américaines, telles que Microsoft, Google, Facebook ou encore Apple d’aider Washington à espionner la Chine.

 

Normes et labels de l’IoT en France et en Europe 

La société française Digital Security : spécialisée dans l’audit des risques et la veille contre les cyber-menaces, elle propose un programme d’audit et d’assistance, dès la conception.

La labellisation est un axe majeur : ainsi le label IQS pour « IoT Qualified as Secured » (label payant ~30 k€) permet-il aux acteurs européens de l’IoT qui le souhaitent, une évaluation par des experts indépendants de la sécurité et de la fiabilité de leurs solutions.

Chaque attestation de labellisation IQS est rendue publique. Elle mentionne la période de validité du label et le périmètre fonctionnel et technique de la Solution IoT sur lequel il porte. Les premières solutions seraient encore en cours de qualification.  Il repose sur 25 à 30 critères autour de 4 thèmes :

  •    la protection des échanges de données (PED)
  •    la protection des socles techniques (PST)
  •    la protection de l’accès aux données (PAD)
  •    la traçabilité (TRA).