Le secure element, un dispositif clé pour renforcer la sécurité IoT
Pour assurer la sécurité des objets connectés, le conseil qui revient en premier lieu auprès du grand public est de changer les mots de passe par défaut. Mais attention, une bonne sécurité ne concerne pas qu'une opération logicielle. "Toute la chaîne doit être prise en compte, du logiciel au réseau, en passant par le matériel, y compris la certification des sites d'assemblage", souligne Cyril Proye, IoT marketing director chez Linxens, fabricant dans le domaine des composants électroniques pour les marchés de la sécurité et de l'identification.
Pour sécuriser un IoT, tous les acteurs interrogés s'accordent sur la nécessité de doter les objets connectés d'un secure element, "un petit processeur autonome dont le rôle se limite aux fonctions de sécurité", explique Michel Beghin, président d'Insight SiP, spécialiste français des circuits radiofréquence ultra-miniaturisés. Son objectif : séparer les éléments de gestion de la sécurité du microcontrôleur. "Les fabricants de semi-conducteurs peuvent ajouter dans le microprocesseur une cellule de cryptage, mais cela ne suffit pas toujours", poursuit-il.
D'après Michel Beghin, encore trop peu d'acteurs ont recours aux secure element. "La sécurité semble entourée d'une culture du secret, les clients ont du mal à comprendre ce qu'il faut faire." Un constat partagé par Leo Gonzales, cofondateur de la société montpelliéraine de services informatiques Devensys Cybersecurity : "Les clients pensent aux cyberattaques mais ils ne s'imaginent pas que l'accès physique aux capteurs puisse représenter un problème et qu'il faille protéger le microcontrôleur." Or, "corriger après coup des erreurs de sécurité coûte cher", souligne Marie-Sophie Masselot, senior business development manager au laboratoire d'électronique et de technologie de l'information français CEA Leti, qui recommande d'implémenter la sécurité by design et dispose de méthodologies et d'outils de tests pour identifier le niveau de sécurité des appareils et conseiller les industriels dans leurs projets.
Quelques dizaines de centimes d'euro par objet
Pourtant, "la demande pour une plus grande sécurité est très importante dans tous les secteurs, y compris pour les objets connectés grand public pour une raison d'image : les marques ne veulent pas que leurs devices puissent servir à des attaques DDOS vers d'autres systèmes", observe Michel Beghin. L'insertion d'un secure element représente, d'après Insight SiP, "un coût de plusieurs dizaines de centimes d'euro par objet". Convaincus que le secure element sera clé à l'avenir, Insight SIP, de même que le CEA, en ont fait un projet phare de leurs développements en 2022.
Insight SIP se focalise sur les appareils connectés en santé et met au point depuis 2019 avec le suisse Cysec un dispositif de transmission sécurisé de bout en bout entre les IoT et leur application médicale. Cela permettra, par exemple, à un seul médecin d'un hôpital de disposer des clés de chiffrement pour accéder aux données remontées par un capteur. Après un retard dû à la crise sanitaire, le produit devrait être présenté cette année.
De son côté, le CEA contribue à élaborer une architecture de processeur intégrant un secure element. La solution permet la détection des attaques visant le processeur et la reprise de contrôle ou un fonctionnement minimal de l'objet connecté attaqué. "Dans l'IoT critique, en particulier la production industrielle, il est important d'assurer la confidentialité, l'intégrité et la disponibilité de l'information", affirme Marie-Sophie Masselot. Ce projet iMRC (integrated Monitoring & Recovery Component - Composant intégré de Surveillance et de Restauration) est mené avec Tiempo Secure, un expert en développement de semiconducteurs sécurisés, dans le cadre du Grand Défi Cyber, un projet lancé par le gouvernement en 2020. " Un POC sera effectué au cours du premier semestre 2022 et l'exploitation commerciale à partir de 2023. Les clients ne pourront alors plus faire l'impasse sur les éléments de sécurité matériels.