Lorsque nous parlons d'Internet des objets (écosystèmes IoT), nous faisons référence à un vaste réseau de gadgets et d'appareils différents qui communiquent entre eux. Imaginez votre réfrigérateur intelligent envoyant un message à votre smartphone pour vous informer que vous n'avez plus de lait ou votre thermostat intelligent ajustant la température ambiante en fonction de vos préférences. Cela semble futuriste, non ?
Mais voici le problème : ces appareils, aussi avancés qu'ils puissent paraître, ne sont pas aussi puissants ni aussi ingénieux que les ordinateurs que nous utilisons quotidiennement. Ils sont comme de petits messagers à l'énergie limitée, toujours en mouvement.
Pourquoi les appareils IoT sont différents de votre ordinateur habituel
- Ressources limitées : contrairement aux gros et puissants serveurs ou ordinateurs auxquels nous sommes habitués, les appareils IoT ne disposent souvent que de peu de mémoire et de puissance de traitement.
- Différents canaux de communication : au lieu des canaux plus sécurisés utilisés par nos ordinateurs, les appareils IoT communiquent souvent via des canaux sans fil moins sécurisés, comme ZigBee ou LoRa. Pensez-y comme si vous choisissiez un antivol de vélo fragile au lieu d’un solide.
- Langage et fonctions uniques : chaque appareil IoT est comme un individu unique. Ils ont leurs fonctions et communiquent à leur manière. C'est comme si de nombreuses personnes de différents pays, parlant chacune leur langue, essayaient d'avoir une conversation. Il est donc difficile de leur proposer un protocole de sécurité unique.
Pourquoi c'est un problème?
Eh bien, en raison de ces défis uniques, les appareils IoT peuvent être des cibles faciles pour les cyberattaques. C'est un peu comme une ville. Plus la ville est grande, plus il y a de risques que quelque chose tourne mal. Et tout comme dans une grande ville avec de nombreux types de personnes différents, les appareils IoT de différentes entreprises doivent trouver des moyens de communiquer entre eux. Parfois, cela nécessite un intermédiaire, un tiers de confiance, pour les aider à se comprendre.
De plus, comme ces appareils sont limités en puissance, ils ne sont pas aussi équipés pour se défendre contre les cybermenaces sophistiquées. C'est comme envoyer quelqu'un avec une fronde repousser une armée moderne.
Briser les vulnérabilités
Les vulnérabilités de l'IoT peuvent être divisées en deux catégories principales
- Vulnérabilités spécifiques à l'IoT : les problèmes tels que les attaques par épuisement de la batterie, les défis de normalisation ou les problèmes de confiance appartiennent ici. Considérez-les comme des problèmes auxquels seuls ces appareils sont confrontés.
- Vulnérabilités courantes : il s'agit de problèmes hérités du monde Internet dans son ensemble. Les problèmes typiques auxquels sont confrontés la plupart des appareils en ligne.
Comprendre les menaces de sécurité dans l'IoT
Lorsqu'on plonge dans le monde de la cybersécurité, notamment dans le domaine de l'IoT (Internet des objets), il est courant d'entendre parler de la triade de la CIA. Cela ne fait pas référence à une agence secrète, mais plutôt à la dent , à l'intégrité et à la disponibilité. Ce sont trois principes qui sous-tendent l’essentiel de la cybersécurité.
La première, la dent , consiste à garantir que vos données privées restent exactement cela : privées. Pensez-y comme à un journal que vous gardez sous votre lit. Seul vous (et peut-être quelques personnes de confiance) devriez avoir la clé. Dans le monde numérique, cela se traduit par des informations personnelles, des photos ou même une conversation que vous avez avec un ami via un appareil intelligent.
L'intégrité, en revanche, consiste à garantir que tout ce que vous avez écrit dans ce journal reste tel que vous l'avez laissé. Cela signifie que vos données, qu'il s'agisse d'un message, d'une vidéo ou d'un document, ne sont pas modifiées par quelqu'un d'autre à votre insu.
Enfin, il y a la disponibilité. Ce principe revient à avoir toujours votre journal à portée de main lorsque vous souhaitez noter vos pensées. Dans le domaine numérique, cela peut signifier accéder à un site Web en cas de besoin ou récupérer les paramètres de votre maison intelligente à partir du cloud.
En gardant ces principes à l’esprit, approfondissons les menaces auxquelles est confronté l’IoT. En matière d’IoT, nos appareils quotidiens, comme les réfrigérateurs, les thermostats et même les voitures, sont interconnectés. Et si cette interconnectivité apporte de la commodité, elle ouvre également la voie à des vulnérabilités uniques.
Une menace courante est l’attaque par déni de service (DoS). Imaginez ceci : vous êtes à un concert et vous essayez de passer une porte, mais un groupe de farceurs continue de bloquer le passage, ne laissant passer personne. C'est ce qu'un DoS fait aux réseaux. Cela les submerge de fausses demandes afin que les vrais utilisateurs comme vous et moi ne puissent pas entrer. Une version plus menaçante est le DoS distribué (DDoS) où ce n'est pas seulement un groupe qui bloque la porte mais plusieurs groupes qui bloquent plusieurs portes en même temps. .
Une autre menace sournoise est l’attaque Man-in-the-Middle (MiTM). C'est comme si quelqu'un écoutait secrètement votre appel téléphonique et prétendait parfois même être la personne à qui vous pensez parler. Dans l’espace numérique, ces attaquants relaient secrètement et pourraient même altérer la communication entre deux parties.
Ensuite, nous avons les logiciels malveillants, l’équivalent numérique d’un virus du rhume mais souvent avec des intentions plus nuisibles. Ce sont des logiciels conçus pour infiltrer et parfois endommager nos appareils. À mesure que notre monde se remplit de plus en plus d’appareils intelligents, le risque d’infection par des logiciels malveillants augmente.
Mais voici le côté positif : aussi nombreuses que paraissent ces menaces, les experts du monde entier travaillent sans relâche pour les combattre. Ils utilisent des techniques avancées, comme l'intelligence artificielle, pour détecter et contrecarrer ces attaques. Ils affinent également la manière dont nos appareils communiquent, garantissant qu'ils peuvent véritablement se reconnaître et se faire confiance. Ainsi, même si l’ère numérique comporte ses défis, nous ne les affrontons pas les yeux bandés.
Intimité
Outre les menaces de sécurité susmentionnées, les appareils IoT et les données qu'ils traitent sont confrontés à des risques liés à la confidentialité, notamment le reniflage de données, la démasquage de données anonymes (dé-anonymisation) et la conclusion de conclusions basées sur ces données (attaques par inférence). Ces attaques visent principalement la confi dent des données, qu'elles soient stockées ou en cours de transmission. Cette section explore ces menaces à la vie privée en détail.
MiTM dans un contexte de confidentialité
Il est suggéré que les attaques MiTM puissent être divisées en deux catégories : les attaques MiTM actives (AMA) et les attaques MiTM passives (PMA). Les attaques passives MiTM consistent à surveiller discrètement les échanges de données entre appareils. Ces attaques ne peuvent pas altérer les données, mais elles peuvent compromettre la confidentialité. Considérez quelqu'un ayant la capacité de surveiller secrètement un appareil ; ils pourraient le faire pendant une période prolongée avant de lancer une attaque. Compte tenu de la prévalence des caméras dans les appareils IoT, des jouets aux smartphones et appareils portables, les conséquences potentielles des attaques passives, comme les écoutes clandestines ou le reniflage de données, sont considérables. À l’inverse, les attaques MiTM actives jouent un rôle plus direct, en utilisant les données acquises pour interagir de manière trompeuse avec un utilisateur ou en accédant aux profils utilisateur sans autorisation.
Confidentialité des données et ses préoccupations
À l’instar du cadre MiTM, les menaces à la confidentialité des données peuvent également être classées en attaques actives contre la confidentialité des données (ADPA) et en attaques passives contre la confidentialité des données (PDPA). Les préoccupations concernant la confidentialité des données touchent à des problèmes tels que la fuite de données, les modifications non autorisées des données (falsification des données), le vol dent et le processus de démasquage de données apparemment anonymes (ré- dent ). Plus précisément, les attaques de dent , parfois appelées attaques par inférence, s'articulent autour de méthodes telles que la désanonymisation, la localisation précise et l'accumulation de données provenant de diverses sources. L'objectif principal de ces attaques est de rassembler des données provenant de divers endroits pour découvrir l' dent d'un individu. Ces données regroupées pourraient ensuite être utilisées pour se faire passer pour la personne cible. Les attaques qui modifient directement les données, comme la falsification de données, entrent dans la catégorie ADPA, tandis que celles associées à la dent ou à la fuite de données sont considérées comme PDPA.
La blockchain comme solution potentielle
La blockchain , communément abrégée en BC, est un réseau résilient caractérisé par sa transparence, sa tolérance aux pannes et sa capacité à être vérifié et audité. Souvent décrite par des termes tels que décentralisé, peer-to-peer (P2P), transparent, sans confiance et immuable, la blockchain se distingue comme une alternative fiable par rapport aux modèles client-serveur centralisés traditionnels. trac intelligent », un contrat auto-exécutable trac lequel les termes de l’accord ou les conditions sont écrits dans le code. La conception inhérente de la blockchain garantit l'intégrité et l'authenticité des données, constituant ainsi une tron contre la falsification des données dans les appareils IoT.
Efforts visant à renforcer la sécurité
Diverses stratégies basées sur la blockchain ont été suggérées pour divers secteurs tels que les chaînes d'approvisionnement, la gestion de l' dent et des accès et, en particulier, l'IoT. Cependant, certains modèles existants ne parviennent pas à respecter les contraintes de temps et ne sont pas optimisés pour les appareils IoT aux ressources limitées. À l’inverse, certaines études se sont principalement concentrées sur l’amélioration du temps de réponse des appareils IoT, négligeant les considérations de sécurité et de confidentialité. Une étude de Machado et ses collègues a introduit une architecture blockchain divisée en trois segments : IoT, Fog et Cloud. Cette structure mettait l'accent sur l'établissement de la confiance entre les appareils IoT à l'aide de protocoles basés sur des méthodes de preuve, conduisant à des mesures d'intégrité des données et de sécurité telles que la gestion des clés. Cependant, ces études n’ont pas directement répondu aux préoccupations des utilisateurs en matière de confidentialité.
Une autre étude a exploré le concept de « DroneChain », axé sur l’intégrité des données des drones en sécurisant les données avec une blockchain publique. Bien que cette méthode garantisse un système robuste et responsable, elle utilise une preuve de travail (PoW), ce qui n'est peut-être pas idéal pour les applications IoT en temps réel, en particulier les drones. De plus, le modèle manquait de fonctionnalités pour garantir la provenance des données et la sécurité globale des utilisateurs.
La blockchain comme bouclier pour les appareils IoT
À mesure que la technologie progresse, la vulnérabilité des systèmes aux attaques, telles que les attaques par déni de service (DoS), augmente. Avec la prolifération d’appareils IoT abordables, les attaquants peuvent contrôler plusieurs appareils pour lancer de redoutables cyberattaques. Les réseaux defi par logiciel (SDN), bien que révolutionnaires, peuvent être compromis par des logiciels malveillants, ce qui les rend vulnérables à diverses attaques. Certains chercheurs préconisent l’utilisation de la blockchain pour protéger les appareils IoT de ces menaces, citant sa nature décentralisée et inviolable. Il convient néanmoins de noter que bon nombre de ces solutions restent théoriques et manquent de mise en œuvre pratique.
D’autres études ont visé à remédier aux failles de sécurité dans différents secteurs utilisant la blockchain. Par exemple, pour contrecarrer les manipulations potentielles dans un système de réseau intelligent, une étude a proposé l’utilisation de la transmission de données cryptographiques combinée à la blockchain. Une autre étude a défendu un système de preuve de livraison utilisant la blockchain, rationalisant le processus logistique. Ce système s'est révélé résistant aux attaques courantes telles que MiTM et DoS, mais présentait des lacunes en matière de gestion de l' dent des utilisateurs et de la confidentialité des données.
Architecture cloud distribuée
En plus de relever des défis de sécurité familiers tels que l'intégrité des données, MiTM et DoS, plusieurs efforts de recherche ont exploré des solutions à multiples facettes. Par exemple, un document de recherche de Sharma et de son équipe a introduit une technique de blockchain rentable, sécurisée et toujours disponible pour l'architecture cloud distribuée, mettant l'accent sur la sécurité et la réduction des délais de transmission. Cependant, il existait des domaines de surveillance, notamment la confidentialité des données et la gestion des clés.
Un thème récurrent dans ces études est l’utilisation répandue du PoW comme mécanisme de consensus, qui pourrait ne pas être le plus efficace pour les applications IoT en temps réel en raison de sa nature gourmande en énergie. En outre, un nombre important de ces solutions négligeaient des aspects essentiels tels que l’anonymat des utilisateurs et l’intégrité complète des données.
Défis de la mise en œuvre de la blockchain dans l'IoT
Délai et efficacité
Bien que la technologie blockchain (BC) existe depuis plus de dix ans, ses véritables avantages n’ont été exploités que récemment. De nombreuses initiatives sont en cours pour intégrer la Colombie-Britannique dans des domaines tels que la logistique, l’alimentation, les réseaux intelligents, VANET, la 5G, les soins de santé et la détection des foules. Néanmoins, les solutions courantes ne résolvent pas le retard inhérent à la Colombie-Britannique et ne conviennent pas aux appareils IoT dotés de ressources limitées. Le mécanisme de consensus prédominant en Colombie-Britannique est la preuve de travail (PoW). PoW, malgré son utilisation généralisée, est relativement lent (il ne traite que sept transactions par seconde, contre deux mille par seconde en moyenne pour Visa) et est énergivore.
Calcul, gestion des données et stockage
L’exécution d’un BC nécessite des ressources de calcul, de l’énergie et de la mémoire importantes, en particulier lorsqu’il est réparti sur un vaste réseau de pairs. Comme le soulignent Song et al., en mai 2018, la taille du registre Bitcoin dépassait 196 Go. De telles contraintes soulèvent des inquiétudes quant à l’évolutivité et à la vitesse des transactions des appareils IoT. Une solution potentielle pourrait consister à déléguer leurs tâches de calcul à des nuages centralisés ou à des serveurs Fog semi-décentralisés, mais cela introduit des retards réseau supplémentaires.
Uniformité et standardisation
Comme toutes les technologies naissantes, la normalisation en Colombie-Britannique constitue un défi qui pourrait nécessiter des ajustements législatifs. La cybersécurité reste un défi formidable, et il est trop optimiste de s'attendre à une norme unique capable d'atténuer tous les risques de cybermenaces contre les appareils IoT dans un avenir proche. Cependant, une norme de sécurité peut garantir que les appareils respectent certaines normes acceptables en matière de sécurité et de confidentialité. Tout appareil IoT doit englober une gamme de fonctionnalités essentielles de sécurité et de confidentialité.
Problèmes de sécurité
Même si BC se caractérise par être immuable, sans confiance, décentralisé et résistant à la falsification, la sécurité d'une configuration basée sur la blockchain est aussi robuste que son point d'entrée. Dans les systèmes construits sur la Colombie-Britannique publique, n’importe qui peut accéder aux données et les examiner. Même si les blockchains privées pourraient constituer une solution à ce problème, elles introduisent de nouveaux défis tels que le recours à un intermédiaire de confiance, la centralisation et les problèmes législatifs liés au contrôle d’accès. Fondamentalement, les solutions IoT facilitées par la blockchain doivent répondre à des critères de sécurité et de confidentialité. Il s’agit notamment de garantir que le stockage des données soit conforme aux besoins de dent et d’intégrité ; assurer une transmission sécurisée des données ; faciliter le partage de données transparent, sécurisé et responsable ; maintenir l'authenticité et la non-disputabilité ; garantir une plateforme permettant une divulgation sélective des données ; et toujours obtenir le consentement explicite de partage des entités participantes.
Conclusion
La blockchain, une technologie au potentiel et aux promesses immenses, a été présentée comme un outil de transformation pour divers secteurs, y compris le paysage vaste et en constante évolution de l’Internet des objets (IoT). Grâce à sa nature décentralisée, la blockchain peut offrir une sécurité, une transparence et une trac améliorées – des fonctionnalités très convoitées dans les implémentations IoT. Cependant, comme pour toute fusion technologique, la combinaison de la blockchain et de l’IoT ne se fait pas sans défis. Des problèmes liés à la vitesse, au calcul et au stockage au besoin urgent de normalisation et de résolution des vulnérabilités, de multiples facettes nécessitent une attention particulière. Il est essentiel que les parties prenantes des écosystèmes blockchain et IoT relèvent ces défis de manière collaborative et innovante afin d’exploiter pleinement le potentiel synergique de cette union.
