Nous nous trouvons dans un monde qui ne tardera pas à être « pris d’assaut » par les objets connectés. C’est bon pour notre développement, mais c’est encore mauvais pour le moment, nos systèmes informatiques n’étant pas protégés efficacement. Pour se pencher sur la question, Cap’Tronic avait organisé le 21 septembre dernier une table ronde entre plusieurs experts. Plusieurs solutions y ont été proposées, dont la cryptographie homomorphe.
Une surface d’attaque de plus en plus large
Fiat Chrysler était obligé de rappeler 1,4 million de véhicules connectés suite au récent piratage du Jeep Cherokee par deux chercheurs. Le système informatique de ces véhicules fait ainsi actuellement l’objet d’une mise à jour qui devrait coûter environ un milliard de dollars au constructeur. La sécurité d’un objet connecté devra ainsi se trouver parmi les priorités de son producteur. Elle nécessite certes un investissement important, mais peut encore coûter plus cher en cas de négligence. Pierre Girard, expert de chez Gemalto, s’est exprimé dans ce sens au cours de ce colloque ayant pour thème : « sécurité des systèmes connectés : quelles bonnes pratiques adopter ? ». Cet évènement a été organisé afin de trouver des solutions de sécurité efficaces face à l’émergence des objets connectés. Ces derniers fournissent en effet une surface d’attaque 2, 3, voire 4 fois plus large pour les cybercriminels.
La cryptographie homomorphe comme première solution
Alain Merle, expert de chez CEA-Leti ne cache pas son inquiétude, nos armes actuelles étant trop molles face à la montée des objets connectés. La cryptologie, pour lui, ne suffit plus pour réduire les risques d’attaques. Elle peut en effet être cassée, son fonctionnement reposant sur une clé. La gestion des clés est cependant rendue difficile par l’émergence des objets connectés, les fabricants ne se posant même pas la question sur la distribution et la mise à jour de ces clés. Quelle est donc la meilleure solution face à cet écueil ? Alain Merle a parlé de la cryptographie lors de la table-ronde. Celle-ci donne en effet la possibilité de réaliser des opérations sur des données cryptées sans recourir au décryptage. Ce qui permettra à un utilisateur de transmettre des données cryptées dans le Cloud. Celles-ci y seront traitées, sans être décryptées. La technologie n’est cependant qu’en phase prototype. Il appartient à la R&D de la transformer en solution.
Système de labellisation et Crash Test
La table ronde était également une occasion pour parler d’une labellisation destinée à mieux armer les entreprises face à la vague des objets connectées. L’Agence Nationale de la Sécurité des Systèmes d’information a déjà pris une avance sur tous les experts présents lors de cet évènement. Elle a en effet préalablement déjà travaillé sur un dispositif incitant les PME à se tourner vers les acteurs labellisés. Le CEA-Leti a déjà également pris cette voie en ouvrant un laboratoire centré sur les objets connectés dès le début des années 2000. Pierre Girrard, lui, trouve la nécessité d’un crash test pour que les entreprises puissent acheter en toute connaissance de cause. Son homologue Bernard Barbier, responsable de la sécurité des systèmes d’information pour le groupe Capgemini, estime qu’il ne faut pas négliger l’humain. Ce dernier devra encore occuper 40% d’un système de sécurité selon ses propos.