La multiplication des objets connectés à Internet et la sécurité des données qu’ils génèrent fait débat car l’information manque sur les protections proposées aux utilisateurs.

Le marché de l’Internet des objets se développe de plus en plus : il englobe non seulement les terminaux réseaux, mobiles ou non, mais aussi les appareils et machines de tous types qui émettent ou reçoivent des données pour fonctionner. Le cercle s’élargit encore plus si s’ajoutent tous les objets qui, par manque de puissance ou besoin d’économie d’énergie, communiquent par l’intermédiaire d’un boîtier connecté à un réseau. L’institut d’études Idate qui travaille sur le sujet depuis de nombreuses années, inclut donc dans le domaine de l’IoT les ordinateurs portables, smartphones et tablettes (2 milliards en 2015, 4 milliards en 2020), les équipements de communication M2M – (Machine to machine) – tels les systèmes de relevé de compteurs, les robots et les automates (4 milliards en 2015, plus 10 de milliards en 2020) et les objets disposant de leurs propres puces ou d’étiquettes électroniques communiquant en champs proche (40 milliards en 2015, plus de 65 milliards en 2020). Tout cela représente effectivement un potentiel énorme surtout si l’on rajoute au final les marchés verticaux dits, en boucle fermée, qui dépendent d’un acteur unique et constituent des écosystèmes propriétaires même s’ils sont partagés.

La vulnérabilité des capteurs

De nombreux systèmes d’exploitation – dont beaucoup en open source – sont disponibles pour faire interagir ces objets connectés via des technologies et des réseaux de communication qui constituent des infrastructures sensibles en terme de sécurité d’autant que nombre d’applications reposent de plus en plus sur le Cloud. Il n’est pas inutile de rappeler à ce stade que les géants de l’Internet tirent l’essentiel de leurs revenus de la monétisation de données personnelles recueillies par le bais de la publicité ciblée en ligne ou le traitement massif selon les techniques algorithmiques du Big Data.

Les données générées par l’IoT sont donc par nature exposées à des risques réels d’utilisation frauduleuse ou illégale. Elles sont donc logiquement la cible d’attaques pouvant revêtir diverses formes, de l’interception durant la transmission radio (comme ce peut être le cas avec la RFID), au vol de données dans les data centers qui hébergent les applications permettant de les interpréter ou qui stockent les informations collectées pour les exploiter sous forme d’historique. Sans parler de la pénétration des systèmes connectés par des logiciels délictueux, les ‘hackers’ pouvant profiter de failles, hélas courantes, comme l’insuffisance d’authentification des requêtes ou l’absence de chiffrement, sans parler de l’insécurité des services réseaux utilisés.

Un avantage concurrentiel

Dans ces conditions, la sécurité devient un enjeu majeur y compris d’un point de vue commercial, puisqu’il s’agit, avec des arguments convaincants et des garanties probantes, de rassurer les utilisateurs. Les autorités publiques ont d’ailleurs pris conscience du problème puisqu’elles même peuvent trouver avantage à utiliser l’IoT pour des applications d’utilité collectives. Les consignes sont donc désormais de ne pas collecter ni conserver systématiquement toutes les données personnelles récupérées. Dans ce but, il est indispensable de bien discerner les données qui sont réellement utiles de celles qui sont superflues, et d’en limiter le prélèvement au seul besoin de l’application finale (qui doit être unique, dans le cas de la réglementation en France). S’il s’agit de données statistiques globales, celles-ci doivent être anonymisées ou cryptées et doivent être sauvegardées si seulement cela est nécessaire ou pour une période limitée dans le temps et clairement déclarée, au terme de laquelle les informations devront être détruites. De plus, l’hétérogénéité des écosystèmes et le fait d’interconnecter des objets aux caractéristiques différentes imposent de développer des architectures intégrant de fortes contraintes d’adaptabilité, de sécurité et de latence. Les experts estiment que la protection de la vie privée et des données personnelles doit être au centre des préoccupations de la filière industrielle de l’IoT qui doit en faire un avantage concurrentiel.

Au cœur des applications sécuritaires

L’impératif de sécurité est d’autant plus évident que l’IoT concerne de plus en plus ce secteur lui-même. La connectivité des objets est fortement présente dans le domaine militaire et policier, la reconnaissance d’identité (identification et authentification renforcée), les services d’urgence et de secours ou le suivi automatique d’opération ou de surveillance de l’environnement (intempéries, tremblements de terre ou éruptions volcaniques…). Comme ces applications ne peuvent qu’être strictement sûres et protégées, la sécurité s’inscrit au cœur de leur développement même si elles s’appuient aussi sur le cloud. Il est donc évident que le développement de l’Internet des objets ne sera un succès commercial que si les utilisateurs ont l’assurance que leur données seront préservées et à l’abri d’usage délictueux ou seulement non désiré.