Sécurité et interopérabilité : les enjeux de demain pour les objets connectés

L’expansion de l’IOT ne pourra véritablement être effective et opérationnelle que si l’écosystème se pare de quelques points fondamentaux.

La deuxième vague des objets connectés est sur le point d’arriver. Contrairement à la précédente, sa promesse est d’offrir des objets qualitatifs, toujours plus puissants et toujours plus présents dans notre quotidien. La montre Apple Watch est le fer de lance de cette nouvelle génération même si d’autres outils au préalable ont commencé à défricher ce nouveau marché porteur.

Mais avant de s’attarder plus avant sur les possibilités offertes par ces multiples technologies et les travers qui peuvent en découler, revenons quelques instants sur l’avènement des objets connectés et de l’écosystème en résultant : l’IOT (Internet Of Things). Bien avant que l’on parle de ces technologies, le monde de l’industrie avait déjà intégré les possibilités de tels procédés dans ses workflow et processus.

Ainsi, le M2M (Machine2Machine) permettait et permet toujours d’administrer ou de communiquer avec une machine quelle que soit sa localisation et quel que soit son mode de fonctionnement. Il y a déjà plusieurs années que les distributeurs de boissons ou les cabines Photomaton envoient des informations sur leurs stocks ou sur des pannes occasionnelles (dans le cas d’un Photomaton, il peut s’agir d’une lampe grillée par exemple) afin d’anticiper et de traiter les urgences associées. La mise en place quelque peu « tardive » des tags RFID (Radio Frequency Identification) dans les entrepôts en vue de tracer les produits et de les géolocaliser représente également les prémices de l’avènement IOT et de son pendant en entreprise l’IIOT (Industrial Internet Of Things).

L’objet est ainsi accessible de manière immédiate et son historique consultable à partir de n’importe quel dispositif adapté (liste des interventions sur un objet, historique des destinations d’une marchandise par exemple). Surtout, il autorise une lecture simultanée (plusieurs centaines de tags lus et analysés en une seconde via des portiques dédiés). Ces mécanismes autorisent donc un traitement en « temps réel » et donc une prise de décision immédiate. Cela impose également la mise en place de processus suffisamment robustes pour absorber une charge toujours plus importante.

Ces technologies existantes et fortement orientées Entreprise représentent donc la phase « 0 » de ce que l’on appelle l’IOT et sont encore exploitées et le seront encore plus dans les années à venir.  Leurs systèmes sont souvent  liés à une typologie de technologies (tags, et lecteurs) et sont extrêmement fragmentés (tags RFID passif, semi-actif, actif, etc.). Cet aspect « silo » que nous retrouverons plus tard dans le marché de l’objet connecté « grand public » actuel a freiné considérablement l’essor de cette technologie.

La première vague : présence sur le marché au détriment de l’interopérabilité

Ces deux dernières années ont vu fleurir les premiers objets dits connectés « grand public » étroitement liés dans un premier temps aux concepts de « Self Quantified » ou d’objets de santé (mHealth). C’est l’avènement des bracelets de type Fitbit, des premières montres connectées, des capteurs de tensions, de températures etc.  Les études effectuées montrent dans un premier temps un réel engouement de la part du grand public pour ces outils « disruptifs » et offrant un service simple et accessible. Cette perception a cependant radicalement changé dans les mois suivants puisque les premiers « Early Adopters » (français ou membres de la Communauté Européenne) délaissent très rapidement ces dispositifs qu’ils jugent finalement peu intéressants et dont la valeur ajoutée n’est pas aussi probante.

De plus, les premiers retours montrent également que les utilisateurs sont sensibles au fait que chaque objet a un cycle de vie qui lui est propre et qu’il est très difficile de faire cohabiter des objets provenant de constructeurs différents. Pour l’exemple, faire communiquer la balance Withings et la Mother de Sen.se relevait d’un véritable challenge. Dans cette première vague, les constructeurs ont cherché à occuper une place prépondérante dans ce marché « neuf » et plein de promesses et donc proposer des services/technologies propriétaires et uniques afin d’occuper « le terrain ». C’est véritablement le Time2Market « marketing » qui est le catalyseur de cette première vague d’objets ainsi que les résultats des plateformes de contribution participative comme Kickstarter. Cette période peut donc être caractérisée par une commercialisation en grande masse d’un objet à usage « unique ».

La deuxième vague : vers un élan de partage

Les nouveaux objets présents sur le commerce ou les évolutions de ceux-ci montrent que les constructeurs souhaitent de plus en plus faire communiquer leurs objets entre eux, c’est-à-dire dans leur propre écosystème, mais également avec d’autres constructeurs qui est la base, rappelons-le, de l’IOT. Ainsi, des sociétés comme Sen.se permettent via l’ouverture de leurs APIS à d’autres constructeurs de s’interfacer sur les plateformes de restitution/administration afin de faire cohabiter les données. De plus, le Business Model a évolué vers une commercialisation de produits capables de s’adapter à l’utilisateur et donc de se mettre à jour sans nouvel achat.

Un problème de sécurité

D’après une étude HP effectuée en Janvier 2014, les dix premiers objets connectés les plus souvent utilisés par le grand public étaient peu ou pas protégés de possibles intrusions effectuées par des hackers (ou tout professionnel ayant un tant soit peu des notions d’informatique). Ces « failles » s’inscrivent à plusieurs niveaux : l’objet lui-même puisque reposant pour certains sur un système d’exploitation qui peut être « piraté » via une simple clé USB, le protocole de communication qui est également pour la plupart du temps non sécurisé (75% des objets connectés utilisent un moyen de transport non crypté), l’interface d’administration qui regroupe les informations provenant des objets et qui est très souvent également non sécurisée. Enfin, la possibilité pour des personnes malveillantes de pouvoir récupérer vos e-mails et autres identifiants car ils sont nécessaires pour créer vos comptes dans un environnement cloud. L’expansion de l’IOT ne pourra véritablement être effective et opérationnelle que si l’écosystème se pare de deux aspects fondamentaux : l’interopérabilité et la sécurité.

Pour ce deuxième point, rappelons que les points cruciaux d’une infrastructure iOT/IIOT s’articulent ainsi autour des composants suivants :

- Le réseau de distribution des différentes informations provenant des différents objets : Véritable chef d’orchestre des futures nouvelles générations d’objets connectés, il véhicule les données entre eux et permet de les acheminer dans différents points géographiques de plus en plus éloignés grâce à l’intégration des passerelles intra-opérateurs téléphoniques. Il est en charge également de la gestion des erreurs/perte de synchronisation pouvant survenir, c’est le cas notamment des réseaux de type SigFox ou LoRa. Cette première brique doit donc être irréprochable tant au niveau de la robustesse des couches que de la sécurité des données qui transitent.

- L’objet lui-même doit et sera de plus en plus sécurisé par la mise en place de « SandBox » permettant d’isoler le cœur des APIs rendus disponibles pour des éditeurs tiers.

- Les Framework « techniques » entre objets provenant de différents éditeurs  doivent également être les plus robustes possibles et suffisamment ouverts pour accueillir différents protocoles de communication. On citera pour l’exemple les solutions AllJoyn qui peuvent elles-mêmes s’appuyer sur des systèmes de workflow comme Busit ou IFTTT. Ces Framework permettant de faire communiquer des objets entre eux selon un langage/protocole dit « universel », nous y reviendrons un peu plus loin.

- Les passerelles de stockage des informations provenant des différents objets doivent être sécurisées et ne contenir que très peu d’informations personnelles.

On le constate donc, la chaîne globale d’un système IOT/IIOT est donc de plus en plus fragmentée par des maillons (issus de différents acteurs) qui sont eux-mêmes critiques et soumis à des possibles attaques. L’enjeu des années à venir est donc de pérenniser ce socle  en consolidant drastiquement l’ensemble des composants d’une chaine IOT.

Vers une interopérabilité plus forte
La communication intra Objet est également l’un des aspects les plus attendus de la part des constructeurs, entreprises mais aussi du « grand public ». En effet, c’est par ce biais que l’Internet des Objets prend tout son sens. La promesse est pourtant atteignable : donner la possibilité à tout objet d’échanger des informations avec d’autres qui seront par la suite consolidées à des fins d’analyse statistique et prédictive. Dans la réalité, cela reste plus compliqué, car comme nous l’évoquions un peu plus tôt, les objets connectés dans la première vague restent dans des silos créés par les constructeurs eux-mêmes et seuls les objets issus d’un même constructeur peuvent dialoguer au sein d’une interface commune.

Il existe néanmoins des solutions permettant aux objets de communiquer entre eux via la mise en place de protocoles adaptés (assimilés aux technologies CORBA ou DCOM de l’époque). L’alliance AllSeen par exemple promeut à cet effet l’interopérabilité des objets connectés via l’adoption de la technologie open source AllJoyn. De nombreux constructeurs et éditeurs ont déjà rallié ce consortium et adaptent leurs produits aux spécifications de cette technologie, grâce à l’utilisation d’un Framework Commun basé sur un langage compréhensible quel que soit l’objet ou les méthodes de transmission sous-jacents (wi-fi, 3G/4G, Zigbee etc..).

Bien entendu, un effort doit être effectué par les fournisseurs afin que leurs objets soient compatibles avec la technologie AllJoyn (ou autres), désormais un des passages obligés pour la réussite d’une solution complète  mais surtout pour l’essor global  de l’écosystème IOT/IIOT.

On le constate donc sans peine, le marché de l’IOT est encore en pleine mutation et cherche quelque peu son modèle. Dans tous les cas, sa croissance tant annoncée sera conditionnée par la mise en place de mesures de sécurité drastiques à tous les niveaux de la chaine et vers une ouverture plus grande aux autres fournisseurs. Malgré tout, les premiers signes sont encourageants, les fournisseurs de solutions ayant pris conscience d’intégrer ces composantes pour garantir la réussite et la pérennité de leurs produits.

IoT