Internet of Everything et sécurité

07/05/2017
Auteurs : Philippe Wolf
OAI : oai:www.see.asso.fr:1301:2017-2:19276
contenu protégé  Document accessible sous conditions - vous devez vous connecter ou vous enregistrer pour accéder à ou acquérir ce document.
Prix : 10,00 € TVA 20,0% comprise (8,33 € hors TVA) - Accès libre pour les ayants-droit
se connecter (si vous disposez déjà d'un compte sur notre site) ou créer un compte pour commander ou s'inscrire.
 

Résumé

Internet of Everything et sécurité

Métriques

15
5
279.63 Ko
 application/pdf
bitcache://abd439e19563571a0bd5206984526bd0301998a7

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2017-2/19276</identifier><creators><creator><creatorName>Philippe Wolf</creatorName></creator></creators><titles>
            <title>Internet of Everything et sécurité</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2017</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Sun 7 May 2017</date>
	    <date dateType="Updated">Mon 8 May 2017</date>
            <date dateType="Submitted">Mon 10 Dec 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">abd439e19563571a0bd5206984526bd0301998a7</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>32627</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

78 Z REE N°2/2017 L’ÉNERGIE ET LES DONNÉESDOSSIER 2 Des milliards d’objets connectés. Nous sommes entrés dans l’ère de l’Internet of Everything1 . On nous annonce 50 milliards d’objets connectés en 2020 et 1000 milliards en 2035 soit près de 200 dispositifs électroniques par personne, en considérant que les inter- nautes constitueront plus de la moitié de 1 Le concept de Internet of Everything a été initialement créé par CISCO en 2013, comme étant “the intelligent connection of people, process, data and things”. l’humanité ce qui va arriver très rapide- ment et probablement dès cette année. 500 millions d’applications offriront des services à partir de ces capteurs. Le Consumer Electronics Show de Las Vegas qui se tient annuelle- ment début janvier démontre, depuis quelques années déjà, la vitalité et l’in- ventivité de la French Tech dans ce domaine. Citons, entre autres : - cateurs d’air, coaches informatisés, douches intelligentes, services connec- tés intergénérationnels, bouilloires pour le thé, miroir, sextoys, colliers pour les animaux… pour personnes dépendantes, ther- momètres, mesures de glycémie, babyphones… d’énergie intelligents en tous genres… services associés, disponibles à tra- vers généralement nos ordiphones (smartphones). Internet of Everything et sécurité Philippe Wolf Ingénieur général de l’armement, 2e section - IRT SystemX analyst, recently stated in an article on Security and the Internet of Things1 : “We also need to reverse the trend to connect everything to the internet. And if we risk harm and even death, we need to think twice about what we connect and what we deliberately leave uncomputerized. […]Truism No. 1: On the internet, attack is easier than de- fense. […]Truism No. 2: Most software is poorly written and insecure. […]Truism No. 3: Connecting everything to each other via the internet will expose new vulnerabilities.” In analyzing recent massive attacks, we have to place reso- lutely security at the heart of the digital transformation, in order to blame the authors of the 1999 Chinese book, entit- led “Unrestricted Warfare2 ”, which declared “We believe that some morning people will awake to discover with surprise that quite a few gentle and kind things have begun to have offensive and lethal characteristics”. For this, the general principles that govern this new era of the Internet of Eve- rything, must be translated into as many security functions in a systemic and systematic approach. We propose to give priority attention to security by design, to the principles of cut-off architectures, to the security of radio technologies, to the maintenance of security and to the protection of perso- nal data. It is by putting security at the heart of the develop- ments of the Internet of Objects that Europe will be able to assert its inventiveness. 1 Seehttps://www.schneier.com/blog/archives/2017/02/security_and_th.html 2 See http://www.c4i.org/unrestricted.pdf ABSTRACT Bruce Schneier, l’un des observateurs les plus dans un article sur la sécurité de l’Internet des objets1 : « Nous avons également besoin d'inverser la tendance qui consiste à tout connecter à l'Internet. Et si nous risquons des dommages et même la mort, nous devons réfléchir à deux fois à ce que nous relions et ce que nous devons délibéré- ment laisser non connecté. [...] Truisme n° 1 : Sur Internet, l'attaque est plus facile que la défense. [...] Truisme n° 2 : La plupart des logiciels sont mal écrits et non sécurisés. [...] Truisme n° 3 : Se connecter à autrui via l'Internet va exposer à de nouvelles vulnérabilités ». Il s’agit, à l’analyse des nouvelles attaques massives récentes, de placer résolument la sécurité au cœur de la transforma- tion numérique pour donner tort aux auteurs du livre chinois de 1999 intitulé en français « La guerre hors limites » qui déclaraient2 « Nous croyons qu’un beau matin les hommes découvriront avec surprise que des objets aimables et paci- fiques ont acquis des propriétés offensives et meurtrières ». Pour cela, les principes généraux qui régissent cette nou- en autant de fonctions de sécurité dans une approche sys- témique et systématique. Nous proposons de porter une attention prioritaire à la sécurisation par conception, à des principes d’architectures en coupure, à la sécurisation des technologies radioélectriques, au maintien en condition de sécurité et à la protection des données personnelles. C’est en mettant la sécurité au cœur des développements de l’Internet des objets, que l’Europe pourra faire valoir son inventivité. 1 La plaquette http://www.sgdsn.gouv.fr/IMG/pdf/SGDSN-14-03-16-2. pdf décrit le dispositif complet. 2 Site très complet ici : https://www.cnil.fr/fr/reglement-europeen-sur- la-protection-des-donnees-ce-qui-change-pour-les-professionnels. RÉSUMÉ REE N°2/2017 Z 79 Internet of Everything et sécurité Le marketing2 cherche à conceptuali- ser par de nouveaux « mots à la mode » ou buzzwords tels que IoT (Internet of Things) ou les mots valises en smartxxx des pratiques plus anciennes. La connec- tivité des choses est née avec la victoire des protocoles, à l’époque non sécurisés, de l’Internet au siècle dernier, avec des tensions renouvelées entre centralisation plus forte (Cloud, diversité numérique en régression) et décentralisation (architec- tures pair-à-pair, blockchain). Le dévelop- pement massif des objets connectés est prédit dans l’ensemble des sphères de l’espace privé. Mais il sera aussi au cœur de l’entreprise du futur où est annon- cée la future convergence entre l’IT, les technologies de l’information et l’OT, les technologies opérationnelles (chaînes de production). On entend, pour notre part, par objet connecté, un dispositif dont la fonc- tion initiale n’est pas strictement liée aux technologies de l’information comme l’est un ordinateur, un ordiphone ou un routeur, mais auquel on a adjoint un ou des composant(s) électronique(s) capable(s) d’envoyer des données sur Internet, soit directement, au travers de la pile IP, soit indirectement par un proto- cole dédié et une passerelle3 . Cela va de drones d’attaques de l’armée américaine. 2 Illustré, par exemple, par le hype cycle du Gartner Group, http://www.gartner.com/ newsroom/id/3412017 3 Aucune définition n’est aujourd’hui univer- sellement admise. Un rapport US récent (1er décembre 2016), intitulé REPORT ON SE- CURING AND GROWING THE DIGITAL ECON- OMY, donne la définition suivante : Internet of Things – Basically, connected sensors that can gather data by conducting physical anal- ysis and (if capable) make changes to that physical environment. The Internet of Things is not just one product or even type of prod- uct, but rather a catalogue of technologies that are different than traditional information- and data-focused information technology. Voir https://www.nist.gov/sites/default/files/ documents/2016/12/02/cybersecurity- commission-report-final-post.pdf Principes généraux Un rapport récent du NIST4 tente - tain nombre de primitives et d’éléments constitutifs. Cinq primitives sont identi- capteur(s) ; 4 National Institute of Standards and Technolo- gy Special Publication (SP) 800-183, Networks of ‘Things’, 7/28/2016. Voir http://nvlpubs. nist.gov/nistpubs/SpecialPublications/NIST. SP.800-183.pdf agrégateur qui abstrait une grappe de capteurs par des calculs dynamiques parfois auto-apprenants en attribuant, éventuellement, des poids distincts aux données élémentaires mesurées ; canal de communica- tion - tions (redondance) sont aujourd’hui privilégiés ; utilitaire externe qui est un pro- duit ou un service logiciel ou matériel exploitant les données diffusées ; Figure 1 : Des objets connectés très variés. Figure 2 : Schéma extrait du document du NIST 800-183 “Networks of ‘Things” Juillet 2016. Figure 3 : L’intérieur de l’objet connecté Thingsee – Source : www.thingsee.com. 80 Z REE N°2/2017 L’ÉNERGIE ET LES DONNÉESDOSSIER 2 Composants Fonctions Remarques Capteurs - Agrégateur Communications Utilitaires externes Déclencheurs de décision - déclencheur de décision qui crée, à partir d’un ou plusieurs objets, pour satisfaire l’objectif, les spéci- - tées, jusqu’à l’alarme ou l’action. De plus en plus souvent, cette fonction est assurée sans « humain dans la boucle » : c’est le propre des robots autonomes. Illustrons cela par un objet5 que nous utilisons dans nos démonstrations. Il s’agit d’un concentré technologique ouvert permettant de valider de nou- 5 Voir https://thingsee.zendesk.com/hc/en-us velles fonctions liées à la domotique ou à la mobilité. Et la sécurité ? Louis Pouzin, l’un de ses pionniers fran- çais. Il devient dès lors facile d’imagi- ner des catastrophes numériques, sujet Figure 4 : Visualisation des données capturées – Source : Espace de l’auteur. REE N°2/2017 Z 81 Internet of Everything et sécurité dont s’est déjà emparé le divertissement audiovisuel. Pour que cet « Internet de toute chose » ne se transforme pas en « Internet du n’importe quoi », il faut pal- lier le manque de sécurité de certains de - samment protégés pour des raisons de coûts ou de consommation, en met- tant en place des mécanismes de sécu- rité au niveau des systèmes globaux qu'ils constitueront (véhicules, aéronefs, trains et tramways, implantations indus- trielles, etc.). Cela n’exonère pas d’une sécurité minimale les objets connec- tés « primaires » non embarqués dans un système complexe ou industriel tels qu’une caméra IP, un cadre-photo, une un drone de loisir, qui peuvent devenir les « couteaux suisses » de la guerre de l’information. Des risques multiformes aux conséquences de plus en plus cri- tiques, comme l’intrusion dans les sys- tèmes, le vol de données, le sabotage et le piégeage informatique, l’usur- pation d’identité ou la cybercrimina- lité, imposent de concevoir, le plus sécurité numérique de ces systèmes du futur de plus en plus complexes. Il s’agit également de construire des outils nouveaux pour les superviser, les contrôler en temps réel, les main- tenir en état de sécurité, gérer leurs incidents et réparer leurs failles sans interrompre les services rendus, sur- maîtriser les facteurs d’échelles et l’évolution continuelle des technolo- gies mais aussi des menaces. Fonctions de sécurité La sécurité actuelle des systèmes d’information traditionnels (modèle client-serveur, équipements dédiés) repose sur des travaux théoriques qui ont une trentaine d’années. Ils irriguent encore les modèles de sécurité et les bonnes pratiques6 (best practices) d’aujourd’hui autour des fonctions de sécurité décrites dans les documents intitulés critères communs de sécurité (cf normes ISO 154087 ). Ces fonctions sont regroupées en 11 classes nom- mées sous forme de trigramme, décou- nous pouvons transcrire très succincte- ment l’usage essentiel à préconiser pour l’IoT : 1 Classe Audit de Sécurité (FAU). Il s’agit avant tout de remonter vers le système de supervision (Secu- rity Operation Center) des traces de sécurité intègres. Le métier de l’audit de la sécurité8 des objets connectés est encore balbutiant. 2 Classe Communication (FCO). Elle traite de la non répudiation des émissions et réceptions. Dans l’IoT des solutions hétéroclites en font un point d’attention particulier. 3 Classe Support Cryptographique (FCS). Les techniques cryptogra- phiques sont des briques indispen- sables pour sécuriser l’IoT mais se heurtent à des problèmes de res- sources disponibles (capacité de calcul, taille des trames réseaux, consommation) mais surtout de ges- tion massive de clés ou éléments secrets. 4 Classe Protection des Données de l’utilisateur (FDP). Cela concerne principalement les données person- - coup d’oracles considèrent que la numérisation du monde les rend transparentes9 . 6 Guides disponibles ici : https://www.ssi.gouv. fr/administration/bonnes-pratiques/ 7 Le portail international est ici : https://www. commoncriteriaportal.org/ 8 « Reconnaissance, enregistrement, stockage et analyse d’informations associées à des activi- tés touchant à la sécurité ». 9 Philippe Wolf, Some considerations about pri- vacy, http://www.irt-systemx.fr/publications/ some-considerations-about-privacy/ 5 Classe Identification et Authentifi- cation (FIA). Il s’agit à la fois d’iden- mais également de gérer, d’authen- d’usage. 6 Classe administration de la sécu- rité (FMT). Dans l’IoT, elle s’exerce principalement sur les systèmes glo- baux avec des données massives à L’analyse comportementale permet parfois de détecter des signaux pré- curseurs d’une attaque. 7 Classe protection de la vie privée (FPR). La protection de l’individu contre la découverte ou l’utilisation frauduleuse de son identité prendra une dimension nouvelle avec la mul- tiplication des intrusions des objets dans notre intimité et la généralisa- tion de la géolocalisation. 8 Classe protection de la TOE10 (FPT). Il s’agit ici de protéger les don- nées embarquées par l’objet. Cela ne sera pas critique pour des objets objets professionnels dont l’intégrité du paramétrage est essentielle (ins- truments médicaux et automates industriels par exemple). 9 Classe utilisation des ressources (FRU). La tolérance aux pannes, l’al- location de ressources (énergie) et la priorité des services n’auront pas transport autonome, l’usine dite 4.0 et l’e-santé auront des contraintes plus fortes que les systèmes dits de confort. 10 Classe d’accès à la cible d’évalua- tion (FTA). Là aussi les contrôles d’établissement d’une connexion 10 La TOE désigne la cible d’évaluation (Target Of Evaluation) qui est un sous-ensemble de l’objet. Quand il est trop restreint (par exemple en omettant les fonctions d’entrées- sorties), il y a un risque renforcé de compro- mission ultérieure. 82 Z REE N°2/2017 L’ÉNERGIE ET LES DONNÉESDOSSIER 2 de l’utilisateur devront répondre à des contraintes plus ou moins fortes selon le degré d’urgence des décisions prises par les robots en aval (alertes de sécurité, urgences médicales). 11 Classe chemin et canaux de confiance (FTP). Les besoins de com- munications sécurisées entre l’utilisa- teur et la technologie deviennent la norme dans l’IT classique. La préda- tion informationnelle ou l’espionnage touchent déjà l’IoT. La manipula- tion des données individuelles géné- rées peut avoir des conséquences globales. Sans développer l’ensemble de ces fonctions, il s’agit de porter son attention sur quelques points, relevant d’abord du simple bon sens. Dans une première approche, la transcription de pratiques et de techniques anciennes bien rodées constitue d’ailleurs un impératif. Security by Design Il s’agit d’intégrer la sécurité au sein des projets dès leur lancement. Cela nécessite de concevoir les fonctions de sécurité embarquées dans l’objet connecté dans la perspective de son déploiement ultérieur ou son urbanisa- tion au sein d’un écosystème bien plus vaste et très souvent hétérogène et non maîtrisé. Privilégier des solutions génériques et éprouvées pour les briques proto- colaires ou cryptographiques est rendu obligatoire par leur complexité intrin- sèque et par la robustesse qui s’éprouve sur la durée devant les progrès continus des menaces et des techniques agres- sives. Le meilleur exemple demeure la carte à puce (ou secure element), invention française, qui a su évoluer dans ses performances et s’adapter face aux progrès des attaques dites à canaux auxiliaires. Quand l’objet intègre une capacité de communication mobile standard (2G, 3G, 4G et bien- tôt 5G), la(es) carte(s) SIM peu(ven)t constituer un espace de stockage sécu- risé utile faisant fonction de Hardware Secure Module les calculs sur éléments secrets, peut alors remplir la fonction de moniteur de référence, concept introduit dès 1972, et qui possède les propriétés suivantes utiles au contrôle d’accès : il résiste à l’in- trusion, est systématiquement appelé et - jet d’une analyse et de tests exhaustifs. En l’absence de module maté- aujourd’hui à des techniques logicielles ou micro-logicielles d’isolation des fonctions critiques. Le code, qui doit 11 , peut exploiter, quand le matériel le permet, des zones sécurisées (appelées Trusted Execution Environments) pour remplir des fonctions essentielles comme le démarrage (boot) sécurisé ou le stoc- kage sécurisé. Une piste complémentaire, qui fait l’objet de recherches actives, consiste à de l’électronique. Les processus de fon- derie électronique introduisent à l’échelle atomique, par dopage, des éléments physiques distinctifs (retards logiques, résistances ou autres paramètres) exploi- tables en sortie de chaîne. On les désigne sous le nom de fonctions physiques inclonables ou PUF (Physical Unclo- nable Functions) car elles permettent de caractériser de manière unique un processeur. La technologie la plus pro- metteuse (PUF SRam) est basée sur la mémoire en mesurant à l’allumage l’état aléatoire des bits d’un bloc. Cela permet, en particulier, de générer une clé privée 11 Le développement logiciel sécurisé est un art qui s’apprend aujourd’hui dans les bonnes formations informatiques. On pourra consul- ter : https://www.ssi.gouv.fr/publication/lafosec- securite-et-langages-fonctionnels/ pour en mesurer la complexité. qui sera la graine (seed) de l’ensemble des fonctions cryptographiques utiles - cation matérielle a l’avantage qu’elle ne nécessite pas (ou peu) d’ajout de maté- riel dédié à la sécurité. Architectures en coupure Des attaques massives de type déni de service montrent la dangerosité potentielle d’objets connectés directe- ment sur l’Internet. Des attaques contre l’hébergeur français OVH se sont éten- dues du 18 au 23 septembre 2016, malveillant. L’origine des flux malveil- lants était un immense botnet conte- nant 145 607 caméras IP d’un fabricant de composants électroniques chinois, Hangzhou Xiongmai Technology. Une autre inondation des services de l’en- treprise américaine Dyn, hébergeur de services DNS, le 21 octobre a perturbé des mastodontes d’Internet (Amazon, Airbnb, GitHub, Reddit, Spotify, Twit- ter). Cette attaque exploitait égale- ment le maliciel Mirai qui a infecté plus de 100 000 appareils connectés par la simple découverte de mots de passe faibles, souvent les mots de passe par défaut. Il est à noter ici que le mar- ché non régulé de la caméra connec- tée privilégie le coût au détriment de la sécurité. Il existe pourtant un principe architec- tural de rupture protocolaire (défense en profondeur « à la Vauban ») qui com- plique singulièrement les tâches des robots fureteurs de vulnérabilités qui envahissent l’Internet. Il s’agit, ce qui n’est pas toujours possible pour des objets domestiques, d’utiliser une pas- serelle sécurisée (gateway)12 pour fédé- 12 Guide de définition d’une architecture de passerelle d’interconnexion sécurisée, https://www.ssi.gouv.fr/uploads/IMG/ pdf/2011_12_08_-_Guide_3248_ANSSI_ ACE_-_Definition_d_une_architecture_de_ passerelle_d_interconnexion_securisee.pdf REE N°2/2017 Z 83 Internet of Everything et sécurité rer un ensemble d’objets à l’échelle d’un quartier, d’une ville ou d’un terri- toire. Cela permet au minimum d’isoler - le partage des coûts de communica- tion. Ce principe d’architecture en cou- pure devrait également s’appliquer à la individuel13 . Sans-fil et sécurité La connexion radio est presque une caractéristique constitutive de - comme, par exemple, les compteurs électriques dits intelligents. Il existera, à côté des futurs réseaux de télécom- munications généralistes qui réservent 13 Comme le concept de rouge/noir en crypto- graphie, https://perso.univ-rennes1.fr/david. lubicz/planches/Nicolas_Guillermin.pdf des gammes pour l’IoT14 , des solutions ad hoc, pour certaines en cours de déploiement massif. Citons les techno- logies plus orientées IoT comme ZigBee, Lora ou Sigfox. Des précautions sont à prendre dans l’ont déjà montré un certain nombre de démonstrations publiques. Une étude rapide15 permet, par exemple, avec du matériel aisément disponible et à coût réduit, de réaliser des attaques par rejeu permettant l’usurpation d’identité 14 L’organisme 3GPP, qui veille à l’évolution des normes de radiocommunication cellulaire 2G, 3G et 4G, a achevé en juin 2016 le travail de standardisation du NB-IoT (Narrow Band Internet of Things), une technologie radio à bande étroite capable de répondre aux contraintes de faible consommation de l’IoT. Il est probable que ces technologies intégrées dans les réseaux mobiles de 5e génération couvriront une part importante du marché. 15 Menée à l’IRT SystemX dans le cadre d’un stage de mastère. et du déni de service par envoi mas- sif de trames, le tout dû à une gestion défaillante de compteurs qu’il s’agit de corriger. Maintien en condition de sécurité Le maintien en condition de sécu- rité des systèmes d’information néces- site l’application vérifiée de mises à jour régulières. Il y a des raisons intrin- sèques au numérique (théorème du virus16 , exploitation des vulnérabilités dites 0-day17 ) et extrinsèques comme le foisonnement des technologies, la com- plexité et l’hyper-connectivité des nou- 16 Le théorème dit du virus, exposé en 1984 par Fred Cohen, affirme que la détection d’un vi- rus informatique est indécidable par une ana- lyse a priori ou une analyse dynamique. Ce théorème rend théoriquement impossible la détermination, à coup sûr, de la malveillance d’un programme informatique. 17 Une vulnérabilité 0-day est une vulnérabi- lité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. Figure 5 : Maquette pour le rejeu de trames (plate-forme CHESS à l’IRT SystemX). 84 Z REE N°2/2017 L’ÉNERGIE ET LES DONNÉESDOSSIER 2 velles architectures (Cloud, IoT), la mise le non-respect des règles d’hygiène infor- matique18 ou l’évolution des techniques d’attaques. Une simple faille de sécu- rité non corrigée peut mettre en péril la sécurité d’un système complet comme l’ont montré maints exemples récents19 . Dans des architectures mono-four- nisseur et centralisées, cela nécessite déjà une logistique lourde, telle que celle du Patch Tuesday)20 . Qu’en sera-t-il dans des architectures multifournisseurs où les éléments constitutifs ne sont pas toujours accessibles par une infrastruc- ture dédiée et où la seule communi- cation se fait over the air21 ? Comment sera gérée l’obsolescence des objets dont les correctifs de sécurité ne seront plus supportés par les constructeurs ? Un sujet, ouvert à de nouvelles recherches, concerne la sûreté de fonc- tionnement (safety versus security). Des équipements critiques pour la sau- vegarde des personnes sont souvent garantir le maintien de leurs propriétés. Privacy ou protection des données personnelles Reste un autre problème, qui est le respect de l’intimité du citoyen entouré et cerné par la robotisation du monde. La protection des données person- 18 Guide d’hygiène informatique, https://www.ssi. gouv.fr/guide/guide-dhygiene-informatique/ 19 Comme l’exploitation de failles dans la suite Microsoft Office dans le cas des at- taques contre le système électrique ukrai- nien, https://www.prbx.com/wp-content/ uploads/2017/01/2016-12_IEEE_Power_ Electronics_PRBX_Smart-Grid.pdf 20 Le Patch Tuesday, qui survient le deuxième mardi de chaque mois, est le jour où Micro- soft met à disposition de ses clients les der- niers patchs de sécurité pour ses logiciels. 21 Une voiture connectée, pour ne prendre que cet exemple, peut-être inaccessible aux ondes radio dans un garage fermé, faisant office de cage de Faraday. nelles, face à la prédation information- nelle des géants du Web, nécessite des avancées techniques autour de fonc- tions de sécurité comme l’anonymat ou le pseudonymat. Pour ne prendre qu’un exemple, l’utilisation réversible de pseu- donymes est essentielle dans l’e-santé pour récupérer via une tierce partie, l’identité d’un patient après une étude de cohorte médicale anonymisée qui révèlerait une maladie orpheline. Un travail commun entre l’Institut de Recherche Technologique (IRT) Sys- temX et le Laboratoire d’intégration de systèmes et des technologies (LIST) a permis de démontrer récemment une application réaliste du chiffrement homomorphe qui permet de faire des calculs sur des données chiffrées22 . La preuve mathématique de sa faisabi- lité est très récente et date de 2009 ; depuis, des réalisations pratiques essaient de faire progresser les temps d’exécution et de mieux gérer les expan- sions de données inhérentes à cette technologie. Notre démonstration, dans le domaine de la biométrie faciale, per- met la reconnaissance d’un individu en confrontant sa photographie avec une base chiffrée d’individus. L’avantage essentiel est qu’un vol de cette base - ment des traitements ne donne aucune information exploitable au pirate infor- matique. Le graal de la protection des données personnelles est à portée de calcul ! Approche systémique À l’IRT SystemX, nous concentrons nos recherches en cybersécurité sur les systèmes de systèmes tels que les 22 Nabil Bouzerna, Renaud Sirdey, Stan Oana, Nguyen Thanh-Hai and Wolf Philippe, An architecture for practical confidentiali- ty-strengthened face authentication embed- ding homomomorphic cryptography, IEEE CloudCom 2016, Luxembourg. transports multimodaux, les territoires sont au cœur de la transformation numé- rique de nos sociétés. Nos recherches se développent dans quatre domaines interconnectés : le transport intelligent et bientôt autonome, les réseaux intel- ligents de gestion de l’énergie dénom- més smartgrids, l’usine du futur dite 4.0 et l’Internet des objets, en particu- lier pour la domotique. Le fonctionne- ment de l’IRT SystemX repose sur deux aspects fondamentaux : la colocalisa- tion de ses talents permettant de créer un véritable creuset d’interactions entre acteurs de la recherche publique et industrielle ; la mutualisation des com- pétences et des plates-formes. Parmi ces dernières, la plate-forme CHESS (Cybersecurity Hardening Environment for Systems of Systems), construite avec - rité des systèmes d’information dans le cadre de la « Nouvelle France indus- trielle », permet de traiter de la donnée massive, de modéliser et simuler les attaques, de visualiser les menaces, et d’expérimenter et développer des tech- nologies innovantes. Elle offre un envi- ronnement versatile et complet pour industriels dans les phases de concep- tion, de modélisation, de simulation et d’expérimentation des innovations futures pour la sécurité du numérique. La plate-forme CHESS est constituée d’un premier étage de reproduction et de cartographie de l’architecture ciblée grâce au recueil de données et à l’acqui- sition de connaissances. On y recherche des vulnérabilités et des failles comme le ferait un attaquant. Un second étage de mise en forme de l’ensemble des traces et événements de sécurité ali- - tionnel de la sécurité. C’est ici que nous essayons de lever des verrous technolo- giques liés à la gestion de données de sécurité massives et à la recherche de REE N°2/2017 Z 85 Internet of Everything et sécurité signaux faibles pour prévenir ou gué- rir. Nous y développons aussi de nou- velles façons de visualiser ces données de sécurité pour faciliter les tâches des futurs opérateurs humains dédiés à la supervision de sécurité. Nous avons présenté le premier étage de CHESS au Forum internatio- nal de la cybersécurité à Lille, les 25 et 26 janvier 2016. Nous y simulions un cas d’usage futur qui consiste à - teries électriques des véhicules sur tout un territoire à l’aide d’énergie renouve- lable. Il s’agit de répartir, par exemple, la recharge de ces véhicules la nuit pour lisser la consommation électrique et diminuer les coûts en fonction d’un prix de l’électricité qui va devenir fluctuant. Les acteurs sont multiples : le construc- teur automobile, le consommateur- producteur, le domoticien, l’opérateur d’énergie avec ses usines de produc- tion. Ce système est attaquable et sera attaqué. Nous utilisons des matériels d’aujourd’hui en attendant les futurs compteurs dits intelligents. En prenant le contrôle informatique d’une passerelle pour un déploiement sur le terrain, nous Dans cette situation, le dispatching auto- matique risque d’activer inutilement, en unités de production supplémentaires. Deux phénomènes particuliers sont à éviter : l’effet papillon qui trans- forme une attaque locale qui peut toucher un nombre important d’ob- jets en conséquences globales ; l’effet domino qui propage ce type d’attaques sur le mode des virus informatiques. La seule manière d’étudier ces phéno- mènes consiste, par des techniques de virtualisation et de simulation hybride à base d’agents menaçants, à les repro- mettre en place les contre-mesures Différentes voies complémentaires sont explorées actuellement : de nouvelles techniques cryptographiques, l’isola- tion des fonctions critiques, la gestion des éléments secrets sans autorité cen- trale, l’utilisation de passerelles sécuri- sées et l’analyse comportementale pour la supervision. Il faut rester modeste dans ses ambi- tions car la réalité dépasse toujours la modélisation en termes de complexité et surtout par l’imprévisibilité du fac- électrique du jeudi 14 août 2003 qui avait gravement touché le nord-est de - quée initialement par une conjonc- tion de phénomènes météorologiques mineurs. La réalité était plus complexe. Les systèmes automatisés de régulation avaient été touchés par un ver informa- tique appelé Blaster touchant les sys- tèmes Windows qui avait atteint son Blockchain et sécurité La chaîne de blocs, qu’on présente trop rapidement comme une solution universelle pour la validation de tran- sactions hors contrôle central, mérite qu’on en étudie l’application à la sécu- risation de l’IoT puisqu’elle est bâtie sur les briques élémentaires de toute solution de sécurité comme la signa- ture ou le condensat cryptographique. Nous avons réalisé une maquette pour la gestion des mises à jour de sécurité dans un cadre ouvert et multi-solutions en portant une attention particulière aux trois fonctions de base que sont la l’intégrité (pour garantir la correction) et la disponibilité (pour permettre le pair-à-pair et désengorger les systèmes centraux). Il s’agit d’une piste très pro- metteuse à la condition expresse de bien relier le monde physique à son abstraction numérique. L'AUTEUR Né en 1958, ancien élève de l’École Polytechnique (1978), docteur en Informatique (1985) de l’Univer- sité Pierre et Marie Curie, Paris 6 et ingénieur général de l’armement, Philippe Wolf est chef du projet « Environnement pour l’interopéra- bilité et l’intégration en cybersécuri- té » à l’IRT SystemX. Il a été directeur des études de l’École Polytechnique à Palaiseau (1995-2000). De janvier 2008 à avril 2015, il fut le conseiller - tionale de la sécurité des systèmes - gulièrement des articles sur la sécu- rité dans le cyberespace. 86 Z REE N°2/2017 L’ÉNERGIE ET LES DONNÉESDOSSIER 2 La cybersécurité, atout pour l’Europe. comme une contrainte mais comme un ensemble de fonctions au poten- tiel compétitif décisif. Deux règle- mentations vont accélérer cette prise de conscience. La France a inscrit dans la loi la protection des systèmes d’in- formation d’importance vitale23 . Cela aura un effet d’entraînement sur toute la chaîne professionnelle impac- tée par la révolution des objets connec- tés. Le nouveau règlement européen sur la protection des données per- sonnelles du 4 mai 201624 , qui per- 23 La plaquette http://www.sgdsn.gouv.fr/IMG/ pdf/SGDSN-14-03-16-2.pdf décrit le dispositif complet. 24 Site très complet ici : https://www.cnil.fr/fr/ reglement-europeen-sur-la-protection-des- donnees-ce-qui-change-pour-les-professionnels met à tout utilisateur de faire ses propres choix, distingue une approche plus respectueuse des libertés indivi- duelles menacées par les mastodontes numériques actuels et les traitements massifs hors de tout contrôle. La cyber- - sée par l’Europe comme une barrière réglementaire incluant de l’extraterri- torialité en ce qui concerne la respon- vendeurs de systèmes nocifs du point de vue de la sécurité. La protection des systèmes hyper- connectés du futur nécessite des arbitrages complexes entre la faci- lité d’usage, le coût de la sécurité, de la sûreté de fonctionnement et du res- pect d’un droit numérique en évolu- nécessaires à leur déploiement sur un marché ouvert pour créer rapidement de la valeur et réunir les conditions de la prospérité économique. Les atouts mettant la sécurité au cœur des déve- loppements de l’IoT. Des PME/TPE françaises pourraient judicieusement utiliser ce domaine de la cybersécurité pour devenir plus rapidement des entre- prises de taille intermédiaire (ETI) avec un positionnement international, grâce notamment aux structures comme l’IRT SystemX. Nous y développons ainsi, dans le cadre d’un programme intitulé - French Tech pour mieux proté- ger et valoriser son inventivité.