La révolution de l’Internet des objets : quels enjeux pour les données personnelles ?

50 milliards d’objets seront connectés en 2020. Peut-être plus ! Les spécialistes présentent l’avènement de l’Internet des objets comme une quatrième révolution industrielle après l’invention de la machine à vapeur, de l’électricité puis d’Internet. Les objets connectés vont bouleverser nos habitudes de vies, engendrant conjointement des opportunités de marché pour les nouveaux acteurs. Selon CISCO, le marché de l’IoT serait estimé à 14,4 trillions de dollars à l’horizon 2022.

 

Dans ce nouveau paysage numérique, les entreprises doivent désormais intégrer l’Internet des objets et une exploitation judicieuse des données. Mais elles ont aussi à respecter certaines règles incontournables, en particulier d’un point de vue législatif. Depuis l’entrée en vigueur le 25 mai 2018 du Règlement Général sur la Protection des Données, dont l’acronyme est RGPD, la gestion et l’encadrement des données personnelles s’inscrivent dans un cadre plus strict et mieux défini.

Cette perspective d’un monde de connexions nombreuses entre les hommes et les objets, une connexion permanente et pourtant peu visible, génère autant de craintes qu’elle est porteuse de promesses. Elle pose aussi la question des relations entre la liberté, la sécurité et la présence sur Internet.

« De l’Internet partout, nous sommes parvenu à l’Internet pour tout »

L’Internet des objets concrétise la vision de l’informatique ubiquitaire qu’avait imaginée Mark Weiser en 1991, où « la technologie s’estompe progressivement dans l’environnement des utilisateurs, intégrée naturellement à l’intérieur des objets du quotidien ».

Kevin Ashton prononça pour la première fois en 1999 le terme Internet des objets. Il désigne à l’origine des objets dotés de puces d’identification par radiofréquence (RFID). Chaque objet ainsi identifié porte un ensemble d’informations que d’autres machines peuvent visualiser. Ces données, lisibles entre les objets, forment un nouveau réseau : l’Internet des objets.

Au fil des ans, le concept d’Internet des objets a évolué. Il fut officiellement reconnu en 2005 par l’ONU dans un rapport sur les télécommunications internationales. « De l’Internet partout, nous sommes parvenu à l’Internet pour tout […] Les connexions vont se multiplier et créer un nouveau réseau dynamique, un réseau de réseaux : l’Internet des objets ».

Il n’y a cependant pas de définition précise pour l’Internet des objets. Le concept émerge des travaux de diverses communautés scientifiques : wifi, web, cloud, identification par radiofréquence ou encore communication en champ proche (NFC). L’IoT désigne donc tous les objets capables de transmettre des données via des capteurs, mais aussi le réseau grâce auquel ces données sont transférées, ou encore les plateformes qui les stockent et les traitent. En combinant tous ces aspects, on peut dire que l’IoT rassemble aujourd’hui des objets reliés à Internet et possédant leur propre identité, recueillant des données et offrant des services.

On trouve deux objectifs à ces connexions multiples :

  • Mettre en place un système de communication Machine à Machine (M2M), afin que les objets perçoivent mieux le monde environnant.
  • Nous offrir la possibilité d’agir avec ces objets sur le monde environnant, aussi aisément que nous manipulons aujourd’hui des fichiers, des pages web, ou encore fréquentons les réseaux sociaux.

La pyramide de Maslow adaptée à l’Internet des objets

Jim Hunter élabore une intéressante conception anthropomorphique des objets connectés dans son article « The Hierarchy of IoT “Thing” Needs ». Il suggère d’appliquer à ces objets la pyramide des besoins, dite Pyramide de Maslow.

Il propose d’appréhender les objets connectés à l’image des êtres humains, en identifiant les différents besoins qui leur sont inhérents. Comme les humains, ils ont d’abord une existence concrète, un « corps », lequel doit être alimenté en énergie et posséder une connectivité afin « d’échanger des informations, en émission comme en réception ». C’est le premier niveau de la pyramide, concernant les besoins physiques.

Le second niveau concerne la sécurité. Les objets doivent posséder un encodage sécurité, un cryptage efficace et demander une authentification de connexion afin de minimiser les risques d’être la cible d’attaques de hackers, cherchant à voler des données.

Une fois l’objet protégé, on passe au troisième niveau, celui de la connectivité que tout objet se doit d’avoir pour répondre aux « besoins de communication ». Pour Jim Hunter, il s’agit ici « d’un besoin d’expression de soi, directement dépendant de l’interface et du networking, du protocole et de la langue que l’objet va utiliser pour intégrer la communauté d’autres objets communicants. On parle aussi d’interopérabilité ». Il est ici question de la faculté d’échange standardisée avec des objets tiers, une solution IoT ou une application.

Au niveau suivant, le quatrième, se trouve la data et la façon dont elle est exploitée et restituée par l’objet. Jim Hunter parle « d’enjeu essentiel caché derrière les objets connectés ».

Et pour finir, la pyramide se termine avec les besoins « intelligents », partie qui se nomme « besoin de l’accomplissement de soi » quand elle est appliquée à l’humain. Selon Jim Hunter, c’est ici que « les besoins de l’objet deviennent l’expression non plus d’un capteur isolé ou d’une passerelle informatique, mais de toutes ces fonctionnalités qui ensemble forment l’objet utilisable dans l’Internet des objets ». Il s’agit de savoir « si l’objet fait preuve d’un comportement prévisible », anticipé lors de sa conception, ou encore s’il est « évolutif », autonome dans sa capacité de configuration. Par exemple, est-il capable de fonctionner et de prendre des décisions sans intervention humaine, en utilisant l’Intelligence Artificielle ? Ou bien peut-il apprendre et devenir plus intelligent via notamment l’exploitation des données ou en faisant partie d’un réseau grâce à l’interopérabilité ?

L’intention de Jim Hunter derrière cette pyramide n’est pas de présenter les objets comme étant dotés de caractéristiques humaines, mais bien de nous inciter à les percevoir différemment. Cette pyramide de Maslow, appliquée à l’Internet des objets, nous révèle en fait une « forme d’architecture » correspondant à une « logique d’évolution de l’objet. Les objets étant créés par l’homme, la logique humaine est ainsi mise à l’œuvre dans les étapes de l’évolution des objets ».

Dans le cadre d’objets connectés, il convient de prendre conscience que toutes les données seront exploitées, un jour ou l’autre. Il faut donc l’avoir présent à l’esprit et déployer des solutions de sécurisation. Cette pyramide a pour objectif de nous éclairer sur les enjeux de l’Internet des objets et nous amener à les anticiper, même les plus imprédictibles.

Il est intéressant de noter dans cette pyramide que bien que la portée initiale soit celle d’un objet seul, elle ne se limite pas à ce seul objet. À l’instar de plusieurs individus s’unissant pour former des organisations, qui deviennent alors des entités individuelles, « des objets en se combinant à d’autres objets deviennent des groupes et des réseaux d’objets, qui sont considérés comme supérieurs et plus complexes » ibid. Ces objets combinés auront également leurs propres besoins qui peuvent être définis par cette pyramide.

À mesure que les choses évoluent, le changement de perspective ouvre incontestablement un monde de paradigmes à exploiter.

Les enjeux et le stade de développement de l’IoT

Ainsi, l’ordinateur personnel n’est plus le seul objet technologique du quotidien et une multitude d’appareils spécialisés, d’utilisation aisée, envahit notre vie : smartphone, montre connectée, liseuse, ordinateur de bord, etc. Tous communiquent grâce à différents types de réseaux sans fil. Et tout peut être connecté : un animal pour suivre ses déplacements, un lit pour recueillir des données sur le sommeil, en passant par une chaîne de montage pour anticiper les pannes et mieux gérer la maintenance. La seule limite est notre propre imagination. Grâce à l’Internet des objets, la technologie est naturellement intégrée aux objets courants. Le concept est clair : le monde physique s’interpénètre avec le monde virtuel.

L’Internet des objets a ainsi vocation à élargir progressivement la notion de réseau de réseaux en construisant un réseau de capteurs pour des objets. Il contribue également à tisser des types de réseaux inédits entre objets et individus, à l’image des formes de structuration qui se sont créées avec les communautés d’Internet. Pour comprendre l’enjeu de ces évolutions, il est donc primordial de ne pas se limiter à l’aspect technique de l’IoT, mais de considérer ses composantes sociales, ainsi que les possibles interactions entre utilisateurs.

Dans ce contexte, l’internet des objets offre sans aucun doute une opportunité de croissance pour l’économie. Selon l’Emerging Technology Hype Cycle 2016 présenté par Gartner, l’IoT connaitra un emballement généralisé dans 5 à 10 ans. Le cycle du Hype présente les technologies actuelles sur deux axes : Visibilité et Maturité et précise pour chacune d’elles la phase dans laquelle elle se trouve.

Les applications existantes montrent actuellement que l’Internet des objets se développe essentiellement autour de la domotique, la santé, la logistique, la sécurité et la ville intelligente.

Des entreprises telles que IBM, Google, Intel, ou encore Microsoft et Cisco, consolident aujourd’hui leur leadership dans ce secteur. Quantité d’applications et de systèmes sont désormais « IoT compatibles » ou « IoT ready ». Nul doute que l’IoT aura des effets majeurs sur la reconfiguration de l’Internet et des services associés.

L’optimisme est donc de rigueur en ce qui concerne le secteur des objets connectés, optimisme soutenu par une technologie désormais mature, une kyrielle de startups se lançant dans l’aventure et une interopérabilité efficiente depuis 2015, grâce à la création d’infrastructures en cloud. L’ensemble des informations est ainsi traité sur une même plateforme et permet donc aisément la communication entre plusieurs objets.

Les écosystèmes IoT

La plupart des objets se connectent sur des réseaux classiques de type 4G, wifi, ou encore bluetooth. Néanmoins, ces réseaux nécessitent de payer une licence et sont énergivores, destinés à transporter d’importants volumes de données.

À contrario, certains objets envoyant très peu de données (ce sont principalement des capteurs qui enregistrent des grandeurs physiques) utilisent une bande de fréquence sans licence. Les deux principaux réseaux existants sont LoRa et Sigfox. Jérome Boittiaux explique en détail le fonctionnement des opérateurs réseaux dans son article « L’internet des objets (IoT – Internet of Things) c’est quoi ? »

« Il suffit d’une passerelle (ou station de base) de la taille d’un attaché-case, émettant sur une bande de fréquence radio et reliée à Internet d’une manière ou d’une autre. De l’autre côté, les objets connectés doivent intégrer une puce compatible à l’une ou l’autre des technologies pour recevoir ou émettre un signal. Celui-ci est conçu pour émettre très loin, en intérieur et même en sous-sol. Les objets sont connectés en réseau radio sans fil à une ou plusieurs passerelles distantes simultanément en fonction de la densité de la topologie réseau. La communication des objets est asynchrone : les objets n’émettent que lorsqu’ils ont des données à transmettre, contrairement aux réseaux 3G ou 4G qui doivent se connecter fréquemment afin de se synchroniser. Les données collectées sont centralisées sur des serveurs dans des bases de données. Les applications accèdent aux données via des API afin de les traiter et de développer les services spécifiques. » ibid.

Les défis majeurs en matière de sécurité et de protection des données

Grâce à Internet, qui par sa nature permet de connecter des milliards de périphériques, notre rapport au monde réel via les objets connectés est en passe d’être définitivement modifié. L’Internet des objets est en train de transformer notre société, il devient donc nécessaire de réfléchir à la sécurité, à la protection de la vie privée et des données personnelles. De fait, les objets connectés peuvent être utilisés par les pirates informatiques pour pénétrer une infrastructure, voler des informations ou bien provoquer des dénis de service. Ils sont des cibles de choix, car généralement invisibles dans l’infrastructure et sans aucune protection. Non seulement les attaques menacent l’intégrité des utilisateurs d’appareils connectés, mais également l’ensemble du réseau. Les objets connectés compromis peuvent ainsi servir de botnets et pénétrer dans d’autres objets, d’autres ordinateurs et même l’infrastructure d’Internet. Fin 2016 par exemple, un réseau d’objets connectés compromis a attaqué un fournisseur de services DNS, paralysant à l’échelle de la planète de nombreux sites web et services en ligne qui utilisent ce service.

On retrouve à l’origine un programme malveillant baptisé Mirai, qui selon certains aurait infecté deux millions d’appareils connectés.

 

Concrètement, les  vulnérabilités inhérentes aux objets connectés proviennent des technologies utilisées. Beaucoup d’appareils connectés ne peuvent pas bénéficier des dernières avancées en matière de sécurité, du fait de leur configuration matérielle simplifiée. Qui plus est, certains objets, comme par exemple des capteurs placés dans un environnement ouvert, sont directement exposés aux intentions malveillantes.

 

Digital Security a réalisé une étude en 2017 qui recense les principales failles des objets connectés. Parmi les plus graves, on trouve :

  • Des mises à jour non sécurisées.
  • L’utilisation de mots de passe par défaut.
  • Communications non sécurisées, dues à un chiffrement trop faible, voire inexistant.
  • Absence de chiffrement sur le stockage des informations.
  • Prise de contrôle possible de l’outil de débogage.

Un autre problème à noter est le manque d’homogénéité au niveau des réseaux et des objets connectés, aggravant les risques d’interceptions de données.

 

De surcroît, les objets connectés se doivent d’être innovants et surtout compétitifs. Le temps de mise sur le marché est accéléré. Les concepteurs et fabricants donnent ainsi la priorité aux éléments vendeur du produit tels que les fonctionnalités, le prix et le marketing, au détriment de la sécurité. Les techniques de sécurisation exigent également une réelle expertise, qu’un fabricant ne détient pas forcément. Il connaitra parfaitement les caractéristiques techniques de son produit, mais sera déficient dans le domaine de la sécurité sur Internet.

 

À noter aussi qu’un système d’objets connectés comporte plusieurs parties, contrôlées par différents prestataires et que chaque partie nécessite d’être sécurisée. Il suffit d’une faille dans le système et toute la sécurité devient caduque. Ce qui oblige chaque partie à coopérer pour mettre en place une sécurité efficace. Et quand bien même l’objet bénéficie d’une bonne sécurité à sa sortie d’usine, il nécessite des mises à jour qui ne sont pas toujours effectuées.

Enfin, le consommateur n’a aucun moyen de connaître le niveau de sécurité des objets qu’il achète. Aucune norme, label ou encore certification n’existe dans ce secteur… alors que ces objets peuvent présenter des risques pour la personne ou ses données personnelles, dont la presse fait régulièrement état. Ainsi un article préoccupant, paru le 25 juillet 2018 dans le journal Le Monde, relate que des « dizaines de modèles de puces informatiques, utilisées dans de multiples appareils connectés, peuvent faire fuiter des données censées rester secrètes. […] Ce qui donne la possibilité à un pirate de récupérer des éléments lui permettant de déchiffrer des données en théorie protégées. Les chercheurs ont surnommé cette attaque « Screaming Channels ». Et malheureusement, on trouve pléthore d’articles similaires soulignant les insuffisances en matière de sécurité, dont les conséquences sont parfois gravissimes.

Chez les particuliers, les objets connectés soulèvent conjointement de nombreuses craintes quant à la protection de leur vie privée. Les utilisateurs confient à travers ces objets des éléments de leur intimité et expriment dans les sondages leur large méfiance (pour 77% d’entre eux), sur la confidentialité et la gestion des données collectées. Qui plus est, de nombreuses données peuvent être récupérées sans le consentement des personnes concernées, du fait même de l’intégration d’objets connectés dans l’environnement. Le respect de la vie privée pose ici problème. Couplées à d’autres données, ces informations permettent de dresser un profil complet des individus à leur insu.

Globalement, il est donc très difficile de savoir qui collecte les données, à quel endroit, pour quelles raisons et pendant combien de temps. Heureusement, le Règlement Général sur la Protection des Données ouvre la voie vers une gestion des données mieux délimitée et sécurisée. À ce sujet, Éric Dosquet (membre de Startup IoT France) se félicite devant l’adoption du RGPD et du cadre strict désormais imposé. « L’anonymisation des données reste un des gros enjeux de ces prochaines années. Mais ce n’est plus le frein essentiel à l’adoption des objets ». En revanche, la sécurité du réseau IoT et des objets contre les attaques massives est plus problématique selon lui. « Cela restera toujours une course entre les policiers et les hackers. Charge aux constructeurs de combler chaque faille de sécurité avec une grande réactivité pour les consommateurs. La confiance emmènera la croissance ».

Les solutions envisageables

Le constat est sans appel : la sécurité des objets est déficitaire et l’Internet des objets, dont les failles de sécurité rendent légitimes les inquiétudes des consommateurs quant à leurs données personnelles, pose des problèmes de respect de la vie privée.

 

Dans les faits, lorsque les entreprises conçoivent des objets connectés, elles privilégient en premier lieu l’aspect coût du développement et fonctionnalité du produit. L’aspect sécuritaire est placé au second plan. Il convient donc de le placer au premier plan, de manière à ce que l’Internet des objets ne présente plus une menace mais une avancée prometteuse.

Hewlett Packard a réalisé une étude pour identifier les points de sécurité à prendre en considération dans le développement des objets :

  • L’authentification et l’autorisation sont à renforcer
  • Les interfaces web nécessitent une meilleure sécurité
  • Les objets doivent pouvoir bénéficier de mises à jour régulières
  • Les données doivent être encryptées lors de leur transmission.

Actuellement, 70% des objets n’encryptent pas les informations !

Dans l’absolu, , il conviendrait d’utiliser le guide de sécurisation préconisé par la fondation OWASP (Open Web Application Security Project), qui propose des méthodes et des outils en matière de sécurisation des applications web, lors du développement d’un objet connecté.

Ce guide préconise une vérification complète de tous les objets suivant les dix problèmes de sécurité généralement rencontrés, afin de les corriger mais aussi les éviter :

Pour limiter les risques, les standards de sécurité doivent être adaptés à tous les objets avant leur fabrication, depuis la phase de développement et jusqu’à leur utilisation finale. Enfin, des mises à jour régulières doivent être effectuées et des mots de passe soigneusement choisis pour leur complexité.

Il convient aussi de souligner la relative faiblesse des réseaux Sigfox et LoRa dans le domaine de la sécurité. Ainsi, un chercheur en sécurité, Renaud Lifchitz, démontre que la méthode de chiffrement des données est insuffisante, puisqu’elle n’est pas en AES 128 bits mais utilise un simple encodage en XOR, rendant les réseaux LoRaWan vulnérables aux attaques. Il propose quelques pistes pour limiter ces problèmes : « envoyer systématiquement des messages de taille fixe et en binaire, utiliser des plateformes matérielles inviolables (Secure Elements) pour stocker et protéger les clés de chiffrement sur les objets connectés, plafonner l’usage du spectre, choisir des clés différentes pour chaque objet ».

Enfin, les utilisateurs doivent être correctement informés des risques sécuritaires liés à l’Internet des objets, de la nécessité des mises à jours, de la nature des données personnelles transmises et surtout, être conscients qu’ils font partie intégrante du système.

Et bien que le cadre légal de la RGPD soit une réelle avancée qui « contribue à la réalisation d’un espace de liberté, de sécurité et de justice », des mécanismes d’anonymisation ou d’obfuscation (stratégie consistant à réduire la précision des informations, voire à en introduire de fausses) devraient être proposés aux utilisateurs. L’idée étant d’amener les individus vers une maîtrise de leurs données.

Le début d’une nouvelle ère

Dans le nouveau monde numérique, l’Internet des objets est une grande révolution. Une façon nouvelle d’interagir avec le monde environnant se met en place sous nos yeux grâce aux objets connectés. Mais ils soulèvent néanmoins des questions sécuritaires et éthiques quant à la gestion des données personnelles, au respect des libertés et à la protection de la vie privée. Car ils sont un canal privilégié de collecte de données et de traçage des activités humaines, avec les risques encourus que cela comporte.

Néanmoins, en adoptant de grands principes stratégiques pour sécuriser les objets et les dispositifs associés, en satisfaisant aux nouvelles exigences réglementaires, en particulier celles du RGPD, en informant les consommateurs, les acteurs de l’IoT gagneront la confiance des utilisateurs et favoriseront le déploiement des objets connectés.

Quoi qu’il en soit, les objets connectés, déjà présents dans notre quotidien, vont devenir incontournables à court terme et modifier inévitablement notre rapport au monde. L’humanité tout entière entre dans une nouvelle ère, gageons que ce soit pour le meilleur, ce que nous souhaitons très sincèrement…

Fermer le menu