Patrizio Piasentin (Silicon Labs) "La technologie Matter relève le grand défi de la sécurité des objets connectés"
Legrand, Ikea, Schneider Electric… La norme Matter est adoptée massivement dans l'IoT. Patrizio Piasentin, responsable Sud Europe pour le fabricant Silicon Labs, fait le point sur cette nouvelle brique clé pour l'écosystème.
JDN. En février, la Connectivity Standards Alliance (CSA) a annoncé la création d'un groupe de travail sur la confidentialité des données...
Patrizio Piasentin. Les attaques ne cessent de se multiplier et les objets connectés sont de plus en plus ciblés comme porte d'entrée vers les écosystèmes. Les hackers étendent toujours plus leurs connaissances. Il faut donc accroître les protections. Cela implique d'effectuer des mises à jour si besoin. Des réglementations à l'attention des industriels voient le jour, comme la norme de l'ETSI EN 303 645 et le Cyber Resilience Act. La création de ce groupe de travail représente un énorme avantage pour les clients car il facilitera les certifications à l'échelle mondiale dans la cybersécurité, et notamment dans l'IoT.
Quels sont les piliers de la sécurité de Matter ?
Il y a quatre concepts qui définissent la sécurité de l'IoT et expliquent pourquoi les fabricants ont besoin d'intégrer la cryptographie. Le premier est la confidentialité. La donnée ne doit être lisible que par l'entité destinée à la lire. Pour assurer une bonne sécurité, il faut que chaque objet connecté ait une identité unique. La seconde notion est l'authentification. Au niveau de la communication avec l'objet, il faut être sûr que les échanges se fassent avec le bon interlocuteur. Un ensemble de certificats garantissent le mécanisme.
Troisième concept : l'intégrité. Il est en effet important de s'assurer que la donnée contenue dans les messages soit reçue de manière intacte. Cela se vérifie dans le temps par le maintien en condition opérationnelle. La donnée ne doit pas pouvoir être modifiée par une entité qui n'y est pas autorisée. C'est par ce biais que des centrifugeuses ont été piratées, l'impact peut être conséquent.
Enfin, quatrième et dernier concept : la privacy. Elle garantit que seuls les terminaux et passerelles souhaités font partie du réseau. Le réseau Matter est entièrement local et ne nécessite pas de connexion internet. En revanche, le gestionnaire de l'écosystème peut créer une application utilisant le cloud. Tous ces concepts sont intégrés dans Matter.
Qu'apporte Matter de nouveau en matière de cybersécurité ?
Les communications se feront par Wifi ou par Thread, mais la mise en service de l'objet connecté (le commissionnement ou commissioning, en anglais, ndlr) se fera par Bluetooth. Le principal avantage de ce protocole réside dans son caractère courte distance, mais aussi dans son commissionnement dédié (out of band, ndlr). Cette diversification des réseaux est un bon point du côté de la sécurité car elle complique les attaques. Par ailleurs, le processus de sécurité de Matter, par l'ajout d'un composant d'authentification, va contribuer à mettre fin à deux pratiques de piratage : le cloning qui consiste à copier un objet pour le revendre sous une autre identité, et l'overbuilding qui consiste pour certains sous-traitants à fabriquer plus d'objets que la commande prévue pour les revendre sur le marché gris.
Quel conseil donneriez-vous aux fabricants ?
Matter sécurise le commissioning. Les processus de sécurité sont identiques partout dans le monde, pour tous les fabricants. C'est ce qui lui apporte beaucoup de valeur. Mais cela n'est pas suffisant pour que tout le système soit sécurisé. Cela ne sert à rien de recourir à un produit Matter si l'application sous-jacente n'a pas une sécurité renforcée. Si un objet a besoin de communiquer avec le cloud, il faudra mettre en place dans l'application (indépendamment de Matter, ndlr) les moyens de s'authentifier dans le cloud. Par exemple, si un thermostat communique avec la chaudière en local, il le fera en toute sécurité avec Matter. En revanche si l'application sur le thermostat communique avec le cloud sans authentification, elle s'expose à un risque.
Pour rappel, depuis combien de temps travaillez-vous sur le sujet ?
Silicon Labs s'est focalisé sur l'IoT en se concentrant notamment sur l'implémentation de la sécurité. Nous avons pris part dès le début à l'élaboration de Matter pour arriver à cette première spécification, disponible depuis le 4 octobre dernier. Silicon Labs est le premier fabricant à avoir reçu le niveau de sécurité PSA level 3 décerné par l'alliance IoXt.
Quels sont vos observations sur l'adoption de Matter ?
Quand on parle de Matter en France, on pense à tort qu'il s'agit de la norme des Gafam alors que de grands leaders européens comme Legrand, Ikea, Somfy, Schneider Electric, mais aussi des ETI de la smart home sont des membres moteurs du CSA. A ce jour, plus de 700 produits IoT sont déjà certifiés Matter depuis l'ouverture de la certification en novembre 2022.
La technologie Matter reléve le grand défi de la sécurité des objets connectés. Si celle-ci n'est pas prise en compte au plus vite, les acteurs vont subir un retour de bâton. L'adoption de la norme de cybersécurité Matter va conduire à une réelle évolution dans la smart home. Les fabricants en faisant le choix de Matter, en bénéficiant de solutions interopérables et simples à implémenter, vont accroitre leur marché adressable. D'autant que Matter prévoit une multi-administration des objets : ces derniers pourront appartenir à différents écosystèmes, appelés fabric. Cela permettra par exemple à plusieurs objets ou application provenant d'écosystèmes différents de commander une même lampe. L'éclairage pourrait être activé par un capteur de porte et un capteur de luminosité afin de gérer une arrivée agréable dans la pièce.
Ingénieur à l'ESIEE Paris (Microélectronique), Patrizio Piasentin est responsable Sud Europe chez Silicon Labs depuis 2012. Il a contribué à l'introduction de nouvelles technologies (wireless, FPGA…) dans de nombreux projets nécessitant pérennité, fiabilité et sécurité. Il participe activement au déploiement de l'IoT, notamment dans la maison connectée et l'industrie, dans différents domaines d'expertise : protection contre les attaques, implémentation de protocoles de communication, passage à l'échelle…