Quand on parle d'Internet des objets (écosystèmes IoT), on fait référence à un vaste réseau d'appareils et de gadgets divers qui communiquent entre eux. Imaginez votre réfrigérateur intelligent qui envoie un message à votre smartphone pour vous avertir qu'il n'y a plus de lait, ou votre thermostat intelligent qui ajuste la température ambiante selon vos préférences. Ça fait futuriste, non ?
Mais voilà le hic : ces appareils, aussi sophistiqués soient-ils, ne sont ni aussi puissants ni aussi performants que les ordinateurs que nous utilisons au quotidien. Ce sont comme de minuscules messagers à l’énergie limitée, toujours en mouvement.
Pourquoi les appareils IoT sont différents de votre ordinateur habituel
- Ressources limitées : contrairement aux serveurs ou ordinateurs puissants auxquels nous sommes habitués, les appareils IoT disposent souvent de peu de mémoire et de puissance de traitement.
- Différents canaux de communication : contrairement aux canaux plus sécurisés utilisés par nos ordinateurs, les objets connectés communiquent souvent via des canaux sans fil moins sécurisés, comme ZigBee ou LoRa. C’est un peu comme choisir un antivol de vélo fragile plutôt qu’un modèle robuste.
- Langage et fonctions uniques : Chaque objet connecté est unique. Il possède ses propres fonctions et communique à sa manière. C’est comme si de nombreuses personnes de pays différents, parlant chacune leur langue, tentaient de converser. Il est donc difficile de concevoir un protocole de sécurité universel.
Pourquoi cela pose-t-il problème ?
En raison de ces défis spécifiques, les objets connectés sont des cibles faciles pour les cyberattaques. C'est un peu comme une ville : plus elle est grande, plus les risques de dysfonctionnement sont élevés. Et tout comme dans une grande ville abritant une population diversifiée, les objets connectés de différentes entreprises doivent pouvoir communiquer entre eux. Parfois, un intermédiaire, un tiers de confiance, est nécessaire pour faciliter leur interopérabilité.
De plus, leur puissance étant limitée, ces appareils sont moins bien armés pour se défendre contre les cybermenaces sophistiquées. C'est comme envoyer quelqu'un se défendre contre une armée moderne avec une simple fronde.
Analyse des vulnérabilités
Les vulnérabilités de l'IoT peuvent être divisées en deux grandes catégories
- Vulnérabilités spécifiques à l'IoT : les attaques par décharge rapide de la batterie, les difficultés de normalisation et les problèmes de confiance relèvent de cette catégorie. Il s'agit de problèmes propres à ces appareils.
- Vulnérabilités courantes : il s’agit de problèmes inhérents à l’écosystème Internet. Ce sont les problèmes typiques auxquels la plupart des appareils connectés sont confrontés.
Comprendre les menaces de sécurité dans l'IoT
Lorsqu'on s'intéresse à la cybersécurité, notamment dans le domaine de l'Internet des objets (IoT), on entend souvent parler de la triade CIA. Il ne s'agit pas d'une agence secrète, mais de l'acronyme CIAdent, Intégrité et Disponibilité). Ce sont trois principes fondamentaux qui sous-tendent la plupart des aspects de la cybersécurité.
Le premier principe, ladent, vise à garantir que vos données privées restent bien privées. Imaginez un journal intime que vous gardez sous votre lit. Seuls vous (et peut-être quelques personnes de confiance) devriez en posséder la clé. Dans le monde numérique, cela concerne les informations personnelles, les photos, ou même une conversation avec un ami via un appareil connecté.
L'intégrité, en revanche, consiste à garantir que ce que vous avez écrit dans votre journal reste tel que vous l'avez laissé. Cela signifie que vos données, qu'il s'agisse d'un message, d'une vidéo ou d'un document, ne sont pas modifiées par une autre personne à votre insu.
Enfin, il y a la disponibilité. Ce principe est comparable à celui d'avoir toujours son agenda à portée de main pour y consigner ses pensées. Dans le domaine numérique, cela pourrait signifier accéder à un site web en cas de besoin ou récupérer les paramètres de sa maison connectée depuis le cloud.
En gardant ces principes à l'esprit, examinons plus en détail les menaces qui pèsent sur l'Internet des objets (IoT). Dans le contexte de l'IoT, nos appareils du quotidien, comme les réfrigérateurs, les thermostats et même les voitures, sont interconnectés. Et si cette interconnexion apporte de la commodité, elle engendre également des vulnérabilités spécifiques.
Une menace courante est l'attaque par déni de service (DoS). Imaginez : vous êtes à un concert et vous essayez d'entrer, mais un groupe de plaisantins bloque systématiquement le passage. C'est l'effet d'une attaque DoS sur les réseaux. Elle les submerge de fausses requêtes, empêchant ainsi les utilisateurs légitimes d'accéder au réseau. Une version plus inquiétante est l'attaque par déni de service distribué (DDoS), où ce ne sont pas un seul groupe qui bloque l'accès, mais plusieurs groupes qui bloquent simultanément plusieurs accès.
Une autre menace sournoise est l'attaque de l'homme du milieu (MiTM). Elle s'apparente à une écoute clandestine de votre conversation téléphonique, avec parfois même l'usurpation d'identité de votre interlocuteur. Dans l'espace numérique, ces attaquants relaient secrètement les communications entre deux parties et peuvent même les modifier.
Viennent ensuite les logiciels malveillants, l'équivalent numérique d'un virus, mais souvent avec des intentions bien plus malveillantes. Ce sont des logiciels conçus pour s'infiltrer dans nos appareils et parfois les endommager. À mesure que notre monde se remplit d'objets connectés, le risque d'infection par des logiciels malveillants augmente.
Mais voici l'espoir : aussi nombreuses que soient ces menaces, des experts du monde entier travaillent sans relâche pour les combattre. Ils utilisent des techniques de pointe, comme l'intelligence artificielle, pour détecter et contrer ces attaques. Ils perfectionnent également la communication entre nos appareils, afin qu'ils puissent se reconnaître et se faire confiance. Ainsi, même si l'ère numérique présente des défis, nous ne les affrontons pas à l'aveuglette.
Confidentialité
Outre les menaces de sécurité mentionnées précédemment, les objets connectés et les données qu'ils traitent sont exposés à des risques liés à la protection de la vie privée, notamment l'écoute clandestine des données, la désanonymisation et l'interprétation erronée de ces données (attaques par inférence). Ces attaques visent principalement ladentdes données, qu'elles soient stockées ou en cours de transmission. Cette section examine ces menaces à la protection de la vie privée en détail.
L'opération MiTM dans le contexte de la protection de la vie privée
On distingue généralement deux catégories d'attaques de type « homme du milieu » (MiTM) : les attaques MiTM actives (AMA) et les attaques MiTM passives (PMA). Les attaques MiTM passives consistent à surveiller discrètement les échanges de données entre appareils. Bien que ces attaques ne modifient pas nécessairement les données elles-mêmes, elles peuvent compromettre la confidentialité. Imaginons une personne capable de surveiller secrètement un appareil ; elle pourrait le faire pendant une période prolongée avant de lancer une attaque. Compte tenu de la présence généralisée de caméras dans les objets connectés, des jouets aux smartphones en passant par les montres connectées, les conséquences potentielles des attaques passives, telles que l'écoute clandestine ou l'interception de données, sont considérables. À l'inverse, les attaques MiTM actives agissent de manière plus directe, en utilisant les données collectées pour interagir de façon trompeuse avec un utilisateur ou accéder à ses profils sans autorisation.
Confidentialité des données et ses enjeux
À l'instar du cadre d'analyse MiTM, les menaces pesant sur la confidentialité des données peuvent être classées en attaques actives contre la confidentialité des données (ADPA) et attaques passives contre la confidentialité des données (PDPA). Les préoccupations relatives à la confidentialité des données englobent des problèmes tels que les fuites de données, les modifications non autorisées de données (falsification de données), le voldentet le processus de démasquage de données apparemment anonymes (dent). Plus précisément, les attaques dedent, parfois appelées attaques par inférence, reposent sur des méthodes telles que la désanonymisation, la géolocalisation et la collecte de données provenant de diverses sources. L'objectif principal de ces attaques est de rassembler des données provenant de différents endroits afin de découvrir l'dentd'un individu. Ces données combinées peuvent ensuite être utilisées pour usurper l'identité de la personne ciblée. Les attaques qui modifient directement les données, comme la falsification de données, relèvent de la catégorie ADPA, tandis que celles associées à ladentou aux fuites de données sont considérées comme des PDPA.
La blockchain comme solution potentielle
La blockchain, souvent abrégée en BC, est un réseau résilient caractérisé par sa transparence, sa tolérance aux pannes et sa capacité à être vérifiée et auditée. Décrite fréquemment par des termes tels que décentralisée, pair-à-pair (P2P), transparente, sans tiers de confiance et immuable, la blockchain se distingue comme une alternative fiable aux modèles client-serveur centralisés traditionnels. Une caractéristique notable de la blockchain est le «tracintelligent », untracauto-exécutable dont les termes ou conditions sont inscrits dans le code. La conception intrinsèque de la blockchain garantit l'intégrité et l'authenticité des données, constituant ainsi une protectiontroncontre la falsification des données dans les objets connectés.
Efforts visant à renforcer la sécurité
Diverses stratégies basées sur la blockchain ont été proposées pour différents secteurs tels que les chaînes d'approvisionnement, la gestion desdentet des accès, et plus particulièrement l'Internet des objets (IoT). Cependant, certains modèles existants ne respectent pas les contraintes de temps et ne sont pas optimisés pour les dispositifs IoT aux ressources limitées. À l'inverse, certaines études se sont principalement concentrées sur l'amélioration du temps de réponse des dispositifs IoT, négligeant les aspects de sécurité et de confidentialité. Une étude de Machado et ses collègues a introduit une architecture blockchain divisée en trois segments : IoT, Fog et Cloud. Cette structure met l'accent sur l'établissement d'une relation de confiance entre les dispositifs IoT grâce à des protocoles basés sur des méthodes de preuve, garantissant ainsi l'intégrité des données et des mesures de sécurité telles que la gestion des clés. Toutefois, ces études n'ont pas abordé directement les préoccupations des utilisateurs concernant la protection de leur vie privée.
Une autre étude a exploré le concept de « DroneChain », axé sur l'intégrité des données des drones grâce à la sécurisation de ces données par une blockchain publique. Bien que cette méthode garantisse un système robuste et traçable, elle repose sur la preuve de travail (PoW), potentiellement inadaptée aux applications IoT en temps réel, notamment pour les drones. De plus, ce modèle ne propose pas de fonctionnalités permettant de garantir la provenance des données ni la sécurité globale pour les utilisateurs.
La blockchain comme bouclier pour les objets connectés
Avec les progrès technologiques, la vulnérabilité des systèmes aux attaques, telles que les attaques par déni de service (DoS), s'accroît. La prolifération d'objets connectés abordables permet aux attaquants de contrôler plusieurs appareils et de lancer des cyberattaques dévastatrices. Bien que révolutionnaire, le réseaudefipar logiciel (SDN) peut être compromis par des logiciels malveillants, le rendant vulnérable à diverses attaques. Certains chercheurs préconisent l'utilisation de la blockchain pour protéger les objets connectés contre ces menaces, en raison de sa nature décentralisée et inviolable. Il convient toutefois de noter que nombre de ces solutions restent théoriques et n'ont pas encore été mises en œuvre concrètement.
D'autres études ont cherché à remédier aux failles de sécurité dans différents secteurs grâce à la blockchain. Par exemple, pour contrer les risques de manipulation dans un réseau intelligent, une étude a proposé l'utilisation de la transmission de données cryptographiques combinée à la blockchain. Une autre étude a mis en avant un système de preuve de livraison utilisant la blockchain, rationalisant ainsi le processus logistique. Ce système s'est avéré résistant aux attaques courantes telles que les attaques de type « homme du milieu » (MiTM) et les attaques par déni de service (DoS), mais présentait des lacunes en matière d'dentdes utilisateurs et de gestion de la confidentialité des données.
Architecture cloud distribuée
Outre la résolution des problèmes de sécurité classiques tels que l'intégrité des données, les attaques de type « homme du milieu » (MiTM) et les attaques par déni de service (DoS), plusieurs travaux de recherche ont exploré des solutions multifacettes. Par exemple, un article de Sharma et son équipe a présenté une technique blockchain économique, sécurisée et toujours disponible pour les architectures de cloud distribué, mettant l'accent sur la sécurité et la réduction des délais de transmission. Cependant, certaines lacunes subsistent, notamment en matière de confidentialité des données et de gestion des clés.
Un thème récurrent de ces études est l'utilisation fréquente de la preuve de travail (PoW) comme mécanisme de consensus, qui, de par sa forte consommation énergétique, pourrait s'avérer peu efficace pour les applications IoT en temps réel. De plus, un nombre important de ces solutions négligent des aspects essentiels tels que l'anonymat des utilisateurs et l'intégrité complète des données.
Défis liés à la mise en œuvre de la blockchain dans l'IoT
Délai et efficacité
Bien que la technologie blockchain existe depuis plus de dix ans, ses véritables avantages n'ont été exploités que récemment. De nombreuses initiatives sont en cours pour intégrer la blockchain dans des domaines tels que la logistique, l'agroalimentaire, les réseaux intelligents, les réseaux VANET, la 5G, la santé et la collecte de données participative. Cependant, les solutions existantes ne résolvent pas le problème de la latence inhérente à la blockchain et ne sont pas adaptées aux objets connectés aux ressources limitées. Le mécanisme de consensus prédominant en blockchain est la preuve de travail (PoW). Malgré son utilisation répandue, la PoW est relativement lente (seulement sept transactions par seconde, contre une moyenne de deux mille par seconde pour Visa) et énergivore.
Calcul, traitement et stockage des données
L'exécution d'un registre Bitcoin (BC) exige des ressources de calcul, d'énergie et de mémoire considérables, surtout lorsqu'il est réparti sur un vaste réseau pair à pair. Comme l'ont souligné Song et al., en mai 2018, la taille du registre Bitcoin dépassait 196 Go. Ces contraintes soulèvent des inquiétudes quant à l'évolutivité et la vitesse des transactions pour les objets connectés. Une solution possible consisterait à déléguer leurs tâches de calcul à des clouds centralisés ou à des serveurs de brouillard semi-décentralisés, mais cela engendre des délais réseau supplémentaires.
Uniformité et normalisation
Comme pour toute technologie émergente, la normalisation en Colombie-Britannique représente un défi qui pourrait nécessiter des ajustements législatifs. La cybersécurité demeure un enjeu majeur, et il serait trop optimiste d'espérer une norme unique capable d'atténuer tous les risques de cybermenaces visant les objets connectés dans un avenir proche. Toutefois, une norme de sécurité peut garantir que les appareils respectent certains critères de sécurité et de confidentialité acceptables. Tout objet connecté devrait intégrer un ensemble de fonctionnalités essentielles de sécurité et de protection de la vie privée.
Problèmes de sécurité
Bien que la blockchain soit caractérisée par son immuabilité, son absence de confiance, sa décentralisation et sa résistance à la falsification, la sécurité d'une infrastructure basée sur la blockchain dépend de son point d'entrée. Dans les systèmes construits sur une blockchain publique, n'importe qui peut accéder aux données et les examiner. Si les blockchains privées pourraient remédier à ce problème, elles soulèvent de nouveaux défis tels que la dépendance à un intermédiaire de confiance, la centralisation et les questions législatives liées au contrôle d'accès. Fondamentalement, les solutions IoT basées sur la blockchain doivent respecter des critères de sécurité et de confidentialité stricts. Il s'agit notamment de garantir que le stockage des données soit conforme aux exigences dedentet d'intégrité ; d'assurer la sécurité de la transmission des données ; de faciliter un partage de données transparent, sécurisé et responsable ; de maintenir l'authenticité et l'incontestabilité des données ; de garantir une plateforme permettant la divulgation sélective des données ; et d'obtenir systématiquement le consentement explicite des entités participantes au partage des données.
Conclusion
La blockchain, technologie au potentiel immense, est considérée comme un outil de transformation pour divers secteurs, notamment l'Internet des objets (IoT), un domaine vaste et en constante évolution. Grâce à sa nature décentralisée, la blockchain offre une sécurité, une transparence et tracaccrues – des atouts essentiels pour les applications IoT. Cependant, comme pour toute fusion technologique, l'association de la blockchain et de l'IoT n'est pas sans défis. Des problématiques liées à la vitesse, à la puissance de calcul et au stockage, en passant par l'impérieuse nécessité de normaliser les données et de corriger les vulnérabilités, de nombreux aspects requièrent une attention particulière. Il est crucial que les acteurs des écosystèmes blockchain et IoT s'attaquent à ces défis de manière collaborative et innovante afin d'exploiter pleinement le potentiel synergique de cette union.
