Remplacer le "I" de IoT par identité
Les systèmes de communication embarqués peuvent être à double tranchant. Bien qu’ils soient devenus de réels arguments de vente ils sont aussi à l’origine de failles de sécurité importantes. L'identité et sa sécurisation est un élément qui devrait être mieux pris en compte.
Par définition, le "I" de IoT signifie internet. Cette technologie utilise la connectivité pour synchroniser les périphériques et y intégrer des objets du quotidien, avec la possibilité d'envoyer et de recevoir des données. Cependant, le "I" peut avoir deux significations différentes : l'interaction et l'identité.
En ce qui concerne le domaine de l'IoT, nous sommes actuellement concentrés sur les aspects passionnants et innovants - en demandant à Amazon Alexa d'effectuer nos paiements ou de changer la température de nos maisons à des kilomètres de là. Cependant, lorsque ce phénomène de nouveauté se dissipera, nous réaliserons que nous n'avons pas entièrement compris les trois principaux domaines d'interaction auxquels nous sommes confrontés: de l’humain à périphérique, de périphérique à périphérique et de périphérique à application. Non seulement ces trois éléments jouent un rôle complètement différent dans la manière dont nous utilisons les appareils IoT en général, mais chacun de ces domaines d’interaction nécessitent une authentification et une autorisation.
Après avoir consacré beaucoup de temps à la conception, à la spécification et à la production des appareils eux-mêmes, nous avons négligé l'importance des méthodes de sécurité nécessaires pour interagir avec ces objets connectés. Il n'est pas déraisonnable de dire que la plupart des fabricants d'appareils IoT ne se sont pas soucié de gérer correctement les besoins d'authentification et de contrôle des équipements. Cela est d’autant plus visible que ces fabricants n’ont pas nécessairement anticipé le risque de détournement de l’usage initial qui peut être fait d’un appareil connecté.
Dans un futur où nous serons sans doute en mesure de déverrouiller nos maisons simplement en utilisant une application, comment pouvons-nous nous assurer que nous rendons aussi facile que possible la centralisation de nos identités (ainsi que de l’ensemble des paramètres de son profile en tant qu’utilisateur, mais aussi des accès qui y sont associés) tout en restant bien protégés ? Avec autant de différents types (et cas d’usages) d'authentification à prendre en compte, nous devrions concentrer nos efforts sur le lien entre l’identité de la personne et l'usage qui peut en être effectué afin de fournir une meilleure expérience IoT.
Une illustration de cet usage consiste à permettre à un client d’une chaîne d’hôtels de bénéficier d’une expérience personnalisée dès son entrée dans une chambre dont la porte est tout d’abord déverrouillée avec son smartphone ; puis d'utiliser la reconnaissance de son identité pour lui proposer ses programmes préférés de VoD ainsi que l’adaptation de la température et la luminosité de la pièce selon ses préférences.
La réponse pourrait être l'identification, plus précisément sous la forme de protocoles standardisés (tels que OAuth et OpenID Connect) Ce type de protocole permet de faire en sorte que les divers composants ne communiquent qu’à la condition de recevoir l'autorisation d'une personne déterminée. L'utilisateur n’aurait qu’à déclencher la création d'un token de sécurité qui sera utilisé dans tous les messages par les parties communicantes. L'interaction entre l'humain et l'appareil définira le futur succès des appareils connectés, il est donc essentiel que nous la prenions en compte dès maintenant.