IoT : La sécurité des objets connectés passe par celle des circuits intégrés

Sans infrastructure à clés publiques (PKI), pas de sécurité des puces des objets connectés. Tous les appareils IoT équipés de ces circuits intégrés requièrent une identité forte pour l'authentification sécurisée. Etat de l'art et perspectives.

Impossible de nier l’incroyable succès du secteur de l’IoT. Lors d’une enquête Vanson Bourne-Software AG de 2018, 25 % des 800 dirigeants IT et métiers interrogés classaient les déploiements d’objets connectés parmi les projets les plus importants de leur entreprise. Mieux encore, 98 % des sondés faisaient déjà état d’un certain retour sur leurs investissements dans l’IoT.

Mais voilà, un quart d’entre eux affirmaient également qu’ils peinaient encore à relever leurs défis de cybersécurité. Ce chiffre n’avait rien de surprenant. En effet, nous savons qu’en réalité de nombreux appareils IoT et IIoT comportent des failles de sécurité.

Ce manque de sécurité des objets connectés a conduit de nombreuses entreprises à remettre leur déploiement IoT à plus tard. C’est pour cela qu’à l’avenir de plus en plus de fournisseurs de services cloud et d’entreprises de sécurité devraient unir leurs forces pour sécuriser le provisionnement et la gestion de ces appareils et offrir des écosystèmes IoT protégés à leurs clients. Les attaques perdureront, de même que le manque de conformité aux normes de sécurité. En cause, les équipementiers (OEM) qui ne sont pas prêts à supporter les coûts de sécurisation des objets connectés. Ils pourraient notamment répercuter ces coûts sur les prix aux consommateurs, ce qu’ils craignent encore de faire.

Une sécurité intégrée aux puces électroniques

En dépit des craintes des OEM en matière de coûts, il est essentiel de fabriquer des appareils IoT sécurisés. C’est en effet le seul moyen de faire chuter le nombre d’attaques. Nous savons également qu’un simple ajout ne suffit pas. Les questions de sécurité — et d’identité — doivent être intégrées au cycle de vie d’un appareil le plus tôt possible : au niveau de la puce électronique.

L’intégration des identités des appareils à leurs puces électroniques, c’est la sécurité dès la conception — le security by design — par excellence. Cela permet de sécuriser un objet connecté littéralement de la puce jusqu’au cloud. Conscients du potentiel de cette solution, fournisseurs de solutions de gestion des identités des appareils et fabricants de semi-conducteurs s’associent afin de la concrétiser.

Sans infrastructure à clés publiques (PKI), pas de sécurité des puces des objets connectés. Tous les appareils IoT équipés de ces circuits intégrés requièrent une identité forte pour l’authentification sécurisée. Pour prouver qu’ils sont bien ce qu’ils prétendent être, ils doivent générer leur propre identité et la stocker de façon sécurisée. Un nombre croissant de ces appareils intègre un certificat de confiance, ce qui réduit grandement le risque d’accès non autorisé.

Le marché abonde en solutions visant à booster la sécurité. Ainsi, un fabricant mondial de circuits intégrés basé à Taïwan s’appuie actuellement sur une solution de provisionnement d’identités PKI spécialement conçue pour la gestion du cycle de vie des identités des appareils IoT. La solution provisionne un certificat numérique pour chaque circuit intégré. Quant au fabricant, il a développé le matériel nécessaire (un graveur) pour intégrer le certificat numérique directement à ses puces. Résultat : l’équipe peut assigner une identité à un produit dès les tout premiers stades de son existence.

Le fabricant utilise ensuite cette puce identifiée numériquement de trois manières différentes. Tout d’abord, c’est ainsi qu’il sécurise l’identité des appareils de domotique qu’il produit et vend. Il peut également produire des puces avec certificats intégrés et les vendre à d’autres fabricants désireux d’intégrer ce type de circuits spécialement conçus pour l’IoT à leur propre conception et production. Enfin, il peut vendre son service de provisionnement couplé à son matériel de gravure sur puces à d’autres constructeurs qui cherchent à développer leurs propres capacités d’intégration d’identités numériques aux puces électroniques. Au bout du compte, en améliorant ses capacités de production grâce au graveur de puces, le fabricant intègre la sécurité au point d’origine. C’est ainsi qu’il entend se démarquer de la concurrence.

Puces électroniques : élargir le champ des possibles pour renforcer la sécurité

Si ce fabricant taïwanais de circuits intégrés commence à peine à implémenter une approche de sécurité dès la conception, d’autres s’y attellent déjà depuis plusieurs années. Infineon et Renesas en sont deux parfaites illustrations. Aujourd’hui, leurs microcontrôleurs sécurisés intègrent des tâches comme la génération de clés, leur archivage sécurisé et la vérification au démarrage. Autre approche non négligeable : certaines entreprises comme Intrinsic ID misent sur les fonctions physiquement non clonables (PUF), un genre d’empreintes numériques.

Les modules TPM (Trusted Platform Module) ont eux aussi beaucoup à apporter à la sécurité de l’IoT. Il s’agit traditionnellement de la norme de sécurisation des composants par excellence. Ces coprocesseurs cryptographiques constituent la racine de confiance matérielle (HRoT) de nombreux systèmes critiques. Ils intègrent plusieurs fonctionnalités avancées, ce qui leur permet notamment de résister aux tentatives d’altérations des attaques physiques et numériques. En prime, ils sont interopérables puisque basés sur un standard. Toutefois, coûteux à l’achat, ces modules nécessitent des connaissances en cryptographie intégrée avant de pouvoir exploiter leurs fonctionnalités avancées. Enfin, l’ajout d’une puce secondaire à la carte mère n’est pas une mince affaire.

De leur côté, les microcontrôleurs (MCU) tiennent dans un seul et même circuit intégré, ou puce électronique. Les MCU sécurisés sont des composants spécialisés dotés de plusieurs fonctions cryptographiques comme le chiffrement de secrets, le stockage sécurisé et d’autres fonctionnalités de sécurité encore plus avancées.

Une autre approche émergente promet elle aussi de transformer la sécurité des objets connectés en associant les identités numériques à des fonctions de sécurité plus complexes. À la clé : des solutions économiques et simplifiées. Dans ce domaine, on s’éloigne pourtant de la sécurité au niveau des puces électroniques. Imaginons plutôt un composant sécurisé, pré-intégré à une carte mémoire flash. Cette approche comporte plusieurs avantages :

• La mémoire flash fait déjà partie intégrante de tous ces appareils, tandis qu’une puce sécurisée comme un module TPM ou un MCU suppose un ajout.

• Elle offre des niveaux d’intégration sans précédent puisque l’on n’installe aucune puce supplémentaire. On active simplement la fonction de sécurité de sa mémoire flash Micron.

• Elle réduit les coûts par rapport aux composants sécurisés traditionnels.

• Une société intègre par exemple plusieurs clés de sécurité utilisables pour l’identification et l’authentification des appareils, mais aussi pour d’autres scénarios de sécurité plus complexes, nécessaires aux objets connectés des infrastructures critiques (démarrage sécurisé, attestation d’intégrité de la plateforme, etc.).

Enfin, d’autres fournisseurs de solutions proposent des services complémentaires comme les mises à jour de firmware sans fil (FOTA) sécurisées, ainsi qu’un service de gestion des clés (KMS) dans le cloud. Authenta a donc tout pour plaire et se démarquer.

Même si toutes ces puces sont encore en préparation et n’équiperont des objets connectés que plus tard dans l’année, nous voilà rassurés ! Des produits capables de renforcer la sécurité des appareils IoT pointent bel et bien le bout de leur nez.