L'agence de sécurité informatique européenne, l'ENISA, s'associe à des groupes européens des semiconducteurs pour renforcer la sécurité de l'Internet des objets. Principal objectif : la certification des produits. Malgré de récentes attaques massives, la réponse au problème en est encore à ses balbutiements.
La sécurité de l'Internet des objets a souvent des airs de chimère, l'ENISA veut lui donner une réalité. L'agence s'est associée à plusieurs industriels (Infineon, NXP et STMicroelectronics) pour réclamer aux autorités européennes de prendre le problème à bras le corps. Pour eux, il faut certifier et imposer la sécurité des objets connectés, entre 20 et 50 milliards devant être en ligne en 2020.
L'électrochoc Mirai
Il ne s'agit pas de paranoïa, le problème s'étant manifesté à de nombreuses reprises dernièrement. S'il n'invente rien en soi, le botnet Mirai a donné une nouvelle échelle au phénomène ces derniers mois, en enrôlant des centaines de milliers d'objets (dont des caméras IP et routeurs), menant à des attaques DDoS importantes, comme celle du fournisseur DNS Dyn (voir notre analyse).
Le niveau de sécurité de certains produits peut être qualifié de catastrophique, avec des ports inutilement ouverts, des serveurs web accessibles sans raison ou encore des identifiants inscrits en dur dans le code. De quoi obliger un fabricant à battre le rappel en urgence.
« Aujourd'hui, il n'y a aucun niveau de base, aucun niveau zéro pour la sécurité et la confidentialité des objets connectés » constate l'ENISA. « La connectivité envahissante de l'Internet des objets signifie que la sécurité devient un problème important pour tous les citoyens, qu'ils utilisent un ordinateur, une TV ou une machine à laver » renchérit Stefan Hofschen, président de la division sécurité d'Infineon. Il est donc temps d'en appeler à la loi, pensent-ils.
Des obligations minimales pour les fabricants
L'ENISA et ses partenaires suggèrent donc aux législateurs européens de définir une ligne de base sur la sécurité et la confidentialité de l'Internet des objets. Par chance, ils sont en train de l'écrire en ce moment même ! Cela via l'Alliance pour l'innovation dans l'Internet des objets (AIOTI), initiée en septembre par la Commission européenne et regroupe les principaux acteurs de l'électronique et des télécoms du vieux continent.
Le système institutionnel européen semble donc bien en marche vers ces obligations. L'ENISA recommande par ailleurs de s'appuyer sur l'expertise des agences du SOG-IS, soit plusieurs pays européens, dont la France (avec l'ANSSI). L'agence veut l'étendre à plus d'États membres et améliorer sa reconnaissance par les institutions communautaires.
Les signataires de la lettre encouragent la conception d'obligations « échelonnées », avec un socle minimal qu'il serait bon d'imposer par la loi. Ils demandent donc à la Commission européenne de créer un nouveau cadre, avec des prérequis clairs pour les objets connectés. Le but est d'imposer le même niveau de sécurité à tous, avec des pénalités qui abusent des certifications ou commercialisent des contrefaçons.
Un label pour la sécurité de l'IoT
Car la principale demande de l'ENISA est de lancer des labels pour la sécurité et la confidentialité de l'Internet des objets. L'entité réclame aussi de mieux prendre en compte les standards existants, voire les adapter aux objets connectés au besoin, comme les tests d'interopérabilité.
Elle veut voir émerger un label de confiance européen (« EU Trust Label »), dont l'utilisation devrait être obligatoire. Sur le fond, l'efficacité même de cette approche reste à déterminer. Le niveau de sécurité demandé doit être élevé, son contrôle strict et son adoption suivie par les clients.
Ces derniers pourraient y être incités par certains biais, comme des assurances pour entreprises modulant leur police en fonction du matériel présent sur les réseaux professionnels. Cette idée est directement défendue par l'ENISA et les industriels, via un « Digital Security Bonus » accordé pour l'introduction de solutions de sécurité, pourquoi pas avec une assurance cybersécurité obligatoire.
Accompagner et soutenir les entreprises
Dans l'analyse à mi-parcours du marché unique numérique, la Commission européenne envisage officiellement d'imposer la certification et l'étiquetage des objets connectés. Une piste qui trouve des échos en France. En décembre, Éric Freyssinet, l'un des principaux spécialistes français des botnets, estimait qu'elle était à explorer si le secteur ne se prend pas lui-même en mains. Au même moment, l'ANSSI nous affirmait ne pas encore en être à ce stade.
Les doléances de l'ENISA incluent, par ailleurs, la garantie de processus de sécurité et des services fiables pour soutenir les industriels dans la sécurité de leurs produits. Il faudrait ainsi les former sur les solutions existantes, « comme le chiffrement, le stockage approprié des clés, l'authentification forte, ainsi que les systèmes de gestion de la vie privée et d'identité ».
La standardisation pouvant être longue, l'ENISA et les industriels demandent aux pouvoirs publics de d'abord soutenir les bonnes pratiques des groupes européens, « en précurseurs ». Enfin, ils suggèrent d'introduire des formations obligatoires sur la vie privée, notamment à l'école. Rappelons ainsi le lancement il y a quelques jours de la SecNumacadémie de l'ANSSI, censée former les employés à l'hygiène informatique en entreprise (voir notre entretien).
