Sécurité : D’ici 2020, Internet devrait accueillir 50 milliards d’objets connectés, dont des montres, des voitures ou même des brosses à dents. De quoi rêver une société connectée ? Ce qui est certain selon Bruce Schneier ce sont les failles de sécurité et la complexité à diffuser des correctifs.
Le salon de l’électronique, le CES 2014, a ouvert ses portes cette semaine. Et les grands noms de l’industrie numérique s’y bousculent pour présenter leurs dernières nouveautés, en particulier dans le domaine des objets connectés ; les « wearables » comme les appellent déjà certains analystes.
Brosse à dents, bracelets, montres… La déferlante d’objets dits intelligents (ou juste connectables à un ordinateur et/ou Internet) est ainsi annoncée. A la clé, la promesse, entre autres, d’une vie meilleure et des progrès y compris pour le monde professionnel.
Les mauvaises pratiques logicielles des industriels
« Les wearables ne sont pas seulement un phénomène pour les consommateurs, ils ont également le potentiel de changer la manière dont les entreprises et leurs salariés exercent leurs activités » assure Forrester qui voit ainsi ces équipements se généraliser en entreprise d’ici 2020.
Tout est donc pour le mieux dans le meilleur des mondes. Pas si vite. Rabat-joie, l’expert reconnu en sécurité, Bruce Schneier, vient quelque peu noircir le tableau, bien trop idyllique, dans une tribune publiée sur Wired.
Car pour lui, l’univers de l’Internet des objets, tel qu’il prend forme, s’avère en vérité largement non-sécurisé et aussi souvent impossible à patcher. Selon Bruce Schneier, l’Internet des objets n’est pas sans lui rappeler le milieu des années 90, époque à laquelle les PC ont atteint des niveaux de crise en matière d’insécurité.
« Logiciels et systèmes d’exploitation étaient criblés de failles de sécurité et il n’existait pas de moyens efficaces pour les corriger. Les entreprises s’efforçaient de garder secrètes ces vulnérabilités et de ne pas diffuser rapidement des mises à jour de sécurité » se remémore l’expert.
La sécurité, une préoccupation pour personne
Or, pour lui, l’informatique embarquée en est justement à ce point de crise. Mais en pire puisque contrairement aux années 90, tous ces nouveaux équipements sont connectés à Internet. Et,juge Bruce Schneier, « les industries produisant ces terminaux sont encore moins capables de résoudre le problème que l’étaient les industriels du PC et du logiciel ».
Ces risques de sécurité liés à l’Internet des objets et la complexité à apporter des solutions sous forme de correctifs tiennent à la nature même du marché des systèmes embarqués. Pour des raisons de rentabilité, de mauvaises pratiques et du recours à la sous-traitance (ODM), peu d’attention est portée à robustesse des couches logicielles utilisées dans ces terminaux.
« Le problème avec ce processus c’est qu’aucune entité n’a d’incitation, d’expertise ou même la capacité de patcher le logiciel une fois qu’il a été livré. Le fabricant de puce est occupé à fournir la prochaine version de sa puce et l’ODM est occupé lui à mettre à jour son produit afin qu’il fonctionne avec cette nouvelle puce. Maintenir les anciens produits et processeurs n’est pas une priorité » commente Bruce Schneier.
En clair, le développement de l’Internet des objets, tel qu’il s’annonce, n’aura assurément rien d’idyllique pour l’expert en sécurité. A moins que des mesures soient prises dès à présent, notamment afin de mettre la pression sur les fournisseurs de systèmes embarqués et que la sécurité soit véritablement un composant natif de ces technologies.