Les objets connectés et la cybersécurité : Inria oscille entre utopie et dystopie

Les objets connectés et la cybersécurité : Inria oscille entre utopie et dystopie

Des idées pour la prochaine saison de Black Mirror

Avatar de l'auteur
Vincent Hermann

Publié dans

Sciences et espace

12/08/2022 7 minutes
1

Les objets connectés et la cybersécurité : Inria oscille entre utopie et dystopie

Le rapport d’activités 2021 d’Inria continue avec les objets connectés, la cybersécurité et l'informatique quantique. Inria touche à tout et entend bien poursuivre dans son rôle fédérateur et d'interface avec les entreprises.

Dans notre première partie, nous avons abordé l’IA, la régulation des algorithmes et la santé. On continue aujourd’hui avec les objets connectés, la cybersécurité et l'informatique quantique, trois domaines où la sécurité est omniprésente. C’est particulièrement le cas avec l’Internet des objets, dont la surface d’attaque grandit chaque jour.

Objets connectés, entre rêve et cauchemar

Le rapport reprend à son compte un passage du livre blanc sur l’Internet des objets publié par Inria en décembre dernier. Personnage fictif, Alice y vit une situation tantôt vue comme un rêve, tantôt comme un cauchemar. Les mêmes objets et services, mais dans un choc entre monde idéalisé et dystopie.

Comme l’indique Nathalie Mitton, directrice de recherche Inria en réseau de capteurs sans fil, la réalité se situe entre les deux. Le rêve constitue l’idéal des données dont on garde la pleine maîtrise, avec possibilité de les supprimer quand on le souhaite, ainsi qu’une interopérabilité totale entre des produits conçus pour simplifier le quotidien. Le cauchemar, lui, « illustre les points de vigilance à avoir lorsque nous déployons de telles solutions ».

Surtout, la directrice de recherche rappelle que la situation d’Alice n’illustre pas complètement la situation des objets connectés, loin de là. Il existe de nombreux domaines où les apports sont plus discrets et pourtant sensibles, dans des domaines comme « l’agriculture, la gestion des déchets, la domotique, l’usine 4.0, l’appui aux secours, l’entretien des routes et ouvrages d’art, etc. ». Les bénéfices peuvent être importants, comme une gestion fine de l’éclairage en fonction de la fréquentation, un arrosage plus efficace, une maintenance préventive de certaines constructions, et ainsi de suite.

Et comme très souvent dans ce domaine, Nathalie Mitton insiste sur l’importance de la sensibilisation et de la formation des différents publics aux risques auxquels on s’expose avec les objets connectés, notamment les cyberattaques et vols de données personnelles. Il suffit de voir ce qui est fait dans le domaine des webcams connectées.

En outre, la question du bénéfice apporté doit être mise en balance avec le coût de la solution. Pour un système d’arrosage par exemple, « le bénéfice est évident, mais la production de composants IoT constitués de métaux précieux, leur transport depuis les usines de production, leur recyclage et même l’alimentation des serveurs stockant et exploitant les données qu’ils remontent ont un coût environnemental ».

De manière générale, les objets connectés devraient proposer un fonctionnement local quand cela est possible. Il ne devrait pas être obligatoire de passer par Internet et des serveurs pour utiliser un interrupteur ou une ampoule connecté au réseau local.

Dans ce domaine, Inria a bien sûr des projets. RIOT-fp, par exemple, est un projet d’accompagnement du système d’exploitation RIOT, qui veut devenir une plateforme logicielle embarquée pour les objets connectés, ultraléger, généraliste, open source et intégrant des composants pour la cryptographie et le réseau sécurisé basse consommation. RIOT-fp, piloté par Inria, veut favoriser la longévité du matériel visé, notamment en économisant les batteries et en travaillant sur l’intégration de RIOT et l’adaptation du parc logiciel. Il vise avant tout les objets connectés à base de microcontrôleurs.

L’institut cite également deux autres projets. Touch Sensity d’abord, qui travaille sur des matériaux sensibles qui, à terme, pourront détecter une pression, une extension, une déformation ou un endommagement. Les applications seraient multiples, y compris dans la santé.

Ensuite, AgriBIoT commercialise des tags RFID dédiés à l’agriculture. Un exploitant agricole pourra par exemple marquer des arbres ou d’autres éléments, qui pourront ensuite être repérés par les employés pour agir. Les tags peuvent embarquer d’autres informations, comme l’hygrométrie et la température. La collecte et l’exploitation des données ne requièrent pas de réseau.

La cybersécurité, vers une défense plus proactive

Inria dispose actuellement d’une trentaine d’équipes dévolues à la cybersécurité. Dans le cadre du plan France Relance, l’institut est associé au CNRS et au CEA pour piloter le PEPR (Programmes et équipements prioritaires de recherche exploratoires) cybersécurité, structuré en deux axes thématiques : « Sécurité de l’information » et « Sécurité des systèmes ».

Dans ce domaine, Inria est partenaire de l’ANSSI. Cette association doit notamment permettre une meilleure vision d’ensemble de certaines thématiques. Plusieurs exemples sont cités :

  • Les outils de preuve, complexes et nécessitant des compétences élevées,
  • L’IoT, dont la surface d’attaque promet d’être « considérable » dans les années à venir avec leur multiplication
  • La création de processeurs sécurisés basés sur l’architecture RISC-V (open source)
  • La supervision de la sécurité et la détection des intrusions
  • L’IA de confiance et le machine learning

Se pose également la question de ce qu’est une bonne défense cyber aujourd’hui. Pour Ludovic Mé, adjoint au directeur scientifique en charge de la cybersécurité chez Inria, l’insuffisance de la pure protection est « démontrée quasi quotidiennement ». Il ajoute qu’il est « nécessaire de surveiller les systèmes d’information pour y détecter, idéalement en temps réel, les attaques les ciblant ». Une approche plus proactive donc.

Les projets sont, on s’en doute, très nombreux. La Mission Sécurité-Défense, pilotée par Frédérique Segond, a ainsi été lancée en 2020 pour soutenir les politiques publiques dans le domaine du renseignement. Elle se veut une interface science et technologie entre les projets et les acteurs sur le terrain. Les partenaires se sont multipliés avec l’arrivée de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), la DGA (Direction générale de l’armement), la DRM (Direction du renseignement militaire), ou encore l’Agence Innovation Défense (AID).

Le Laboratoire de haute sécurité a, de son côté, été lancé en 2008 pour référencer et stocker toutes les cybermenaces lui passant sous la main. Il détient aujourd’hui plus de 35 millions de logiciels malveillants. Depuis sa création cependant, ses perspectives ont évolué.

En association avec Carnegie Mellon, il a ainsi lancé ThreatPredict, qui se base sur l’analyse dans le temps de ces menaces. En associant ces informations à celles trouvées dans le darknet, les réseaux sociaux et d’autres sur les évènements sociaux et géopolitiques, le projet ambitionne de prédire le type de brèche qui pourrait intéresser les pirates dans un avenir proche.

Citons également la startup Malizen (issue d’une collaboration entre Inria et CentraleSupélec), qui a créé l’année dernière ZeroKit. Cette trousse à outils permet la récupération des journaux d’activité d’un ordinateur infecté et affiche « toutes les informations susceptibles d’aider l’expert à poser son diagnostic ».

Autre exemple, la société Dapsren (incubée au StartupStudio d’Inria) propose Parad, une nouvelle approche dans la lutte contre les ransomwares. Elle génère un modèle à partir des données dans leur état normal et analyse les évolutions. Si une modification suspecte se produit, Parad déclenche un mécanisme de sécurité et prévient.

1

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Objets connectés, entre rêve et cauchemar

La cybersécurité, vers une défense plus proactive

Commentaires (1)


Merci pour cet article.
Un petit exemple supplémentaire avec l’attaque DDoS sur Dyn (DNS) en 2016 qui avait été mené à partir de Botnet depuis des cameras IP (notamment).