Pourquoi la cybersécurité est incontournable dans les projets IoT
Dans l’univers des objets connectés, la question de la cybersécurité est centrale. A l’occasion du Forum international de la cybersécurité (28,29 et 30 janvier à Lille), qui propose des conférences et des rencontres entre clients et fournisseurs de solutions de cybersécurité, découvrez comment SNCF mène ses actions de prévention et de réparation en la matière, et à quelles situations l’entreprise ferroviaire fait face.
Publié le
Par La Redaction
Cybersécurité et objets connectés : la fable de la voiture folle
Par un beau matin de janvier 2020, vous êtes tranquillement installé dans votre Tesla modèle S, en route pour le travail. Le trafic est fluide, le ciel est bleu, votre émission de radio préférée vous fait sourire… Quand sans crier gare, la voix du présentateur s’interrompt pour laisser place à du métal norvégien, les clignotants s’affolent et votre siège tressaute au rythme de la musique. Pris de panique, vous vous garez en catastrophe sur le bas-côté et tentez de trouver une solution pendant que les portes de votre véhicule s’ouvrent et se referment en continu. Vous vous rendez à l’évidence : quelqu’un a pris le contrôle de votre voiture. Et si dans notre exemple la plaisanterie est bon enfant, imaginons les conséquences d’un volant rendu fou à 180 km/h.
Ce scénario est déjà une réalité : en septembre 2016, Keen Security Lab, société chinoise spécialisée dans la cybersécurité est parvenue à contrôler à distance une voiture autonome Tesla. Grâce à un ordinateur portable, leurs équipes de recherche ont pu la déverrouiller, ouvrir le toit, mettre en route les clignotants, changer la position du siège conducteur, et même ouvrir le coffre… Tout cela alors que la voiture roulait. Suite à cette démonstration médiatisée, la société d’Elon Musk a rapidement réagi en corrigeant la faille de sécurité. Mais cet exemple met en lumière la potentielle démultiplication des attaques de cybersécurité à mesure que les objets connectés prolifèrent. Analyse.
Qu’est-ce qu’une cyber-attaque IoT ?
Dans la majorité actuelle des cyber-attaques, les pirates tentent de rendre une infrastructure (ou une application) inaccessible par une attaque DoS (déni de service). En somme, ils submergent la machine de demandes (un peu à l’image d’un site d’E-commerce saturé pendant les premières heures des soldes) ou bien exploitent une faille du système.
Or les objets connectés sont un formidable outil de démultiplication de la portée d’une attaque DoS. En effet, en infectant ces derniers, les pirates créent d’immenses réseaux de « machines zombies » appelés « botnet » pour mener leurs offensives. Le principe est implacable: plus les « machines zombies » sont nombreuses, plus l’attaque a des chances d’aboutir et de faire des ravages.
Non seulement l’ampleur de ces assauts s’intensifie au rythme de l’accroissement du nombre d’objets connectés, mais ils deviennent également plus faciles à mener. Des malwares (logiciels essayant d’infecter le système informatique d’un objet connecté) sont apparus pour accélérer la création de « botnets » – Mirai, par exemple, identifie et prend le contrôle d’objets connectés non sécurisés -. C’est ce qu’a subi l’hébergeur de domaine français OVH : une offensive DDos dont le trafic malveillant a atteint 1 térabit/s. Suite à cette attaque, nous avons appris que le « botnet » était né d’un réseau de webcams connectées.
Quelle est la cible de ces cyber-attaques ?
Les objets connectés ne sont donc pas toujours la cible finale de ces offensives. Dans le cadre des attaques par déni de service, ils en sont plutôt un moyen : celui de provoquer des sabotages (de l’inefficacité d’un système à de véritables catastrophes).
Mais d’autres scénarii émergent également, tels que la corruption des données liées aux objets connectés. Pour une entreprise comme SNCF, la donnée tient un rôle primordial. Une fois collectée, elle traverse un réseau de communication pour parvenir jusqu’à une plateforme IoT, où elle sera analysée et réinjectée ensuite dans des applications métiers ou grand public. L’entreprise doit donc impérativement protéger ses données, notamment du point de vue de la disponibilité et de l’intégrité. Or sa protection dépend de la force globale de l’écosystème : plus ce dernier est vulnérable, plus la data le devient.
Comment SNCF protège ses objets connectés ?
SNCF a développé son propre écosystème IoT (lire l’article), notamment pour anticiper davantage les défaillances et atteindre son objectif de maintenance prédictive. Sur le terrain et dans les technicentres industriels, les objets connectés de l’entreprise relèvent des informations de mesure physique de différentes natures (température, luminosité, etc). « Il faut assurer que les data soient exploitables au moment du besoin, et qu’elles soient véridiques », souligne Pierre Texier, expert cybersécurité de la Fab IoT SNCF. « Un capteur illégitime pourrait tromper toute la logique », et les décisions prises ne seront plus cohérentes vis-à-vis de la réalité.
En plus d’être vigilant dans l’évaluation des dispositifs IoT à adopter – en l’occurrence une plateforme fournie par IBM et de divers réseaux de connexion comme LoRa (Réseau de connexion par radio à bas débit) ou Sigfox – SNCF vise à préserver ses données par le biais de solutions cryptographiques adaptées aux objets connectés.
Mécanisme de protection via des clés de chiffrement, la cryptographieest une solution efficace pour assurer l’intégrité et/ou la confidentialité des data. Correctement implémentées, ces fonctionnalités garantissent qu’aucun pirate ne peut prendre connaissance ni altérer la valeur de ces données. Bien que la cryptographie soit réputée pour être parfois utilisée à mauvais escient (exemple des ransomwares, ces « logiciels de rançon »), elle demeure une technique efficiente pour protéger correctement ses informations.
Néanmoins, les contraintes des capteurs peuvent rendre la démarche de sécurisation par cryptographie complexe. En effet, ces derniers présentent :
– Une faible puissance de calcul, difficile à concilier avec la capacité requise par la cryptographie,
– Un espace de stockage réduit,
– Des ressources énergétiques limitées,
– Une bande passante réduite pour les réseaux IoT, rendant délicates les mises à jour d’informations indispensables (comme les clés de chiffrement) au bon fonctionnement d’une protection cryptographique évolutive.
En plus d’être un enjeu incontournable, la cybersécurité demeure donc un véritable challenge dans le contexte de l’Internet industriel. C’est pourquoi les grands groupes dont SNCF mettent la coopération au cœur du processus, afin de trouver ensemble les technologies de sécurisation les plus efficaces, viables et durables.
Pour aller plus loin
Retrouvez l’intervention de Rapahël Viard au F.I.C sur la cybersécurisation de la mobilité connectée ici.
INTERNE SNCF UNIQUEMENT
De nombreux projet IoT sont en cours d’élaboration chez SNCF (voir vidéo). Les chefs de projet sont invités à se rapprocher de la Fab IoT et des 574 afin de se renseigner sur l’implémentation des mesures de cybersécurité dans le cadre de leurs missions.
_Photo de Une : Usine-Digitale_
