Selon un expert de Gartner, l'Internet des Objets (IoT ou Internet of Things) se développe, mais la plupart des fabricants qui commercialisent des objets connectés n'ont pas fait de la sécurité leur priorité et accordent plus d'importance aux considérations commerciales. « La majorité des grands fournisseurs font des efforts pour répondre à ces préoccupations de sécurité, mais la majorité n'en est pas encore à ce stade. Ces derniers privilégient la commodité, la convivialité, le temps de mise sur le marché, à toute autre considération de sécurité », a déclaré Earl Perkins, vice-président de la recherche chez Gartner. Les fabricants de composants dédiés à ces dispositifs estiment souvent quant à eux que la sécurité doit être intégrée, comme en témoigne le rachat par ARM de l'entreprise de sécurité Offspark cette semaine : son logiciel permettra au concepteur de puces d'intégrer le cryptage TLS à l'intérieur même de son système d'exploitation. « Cette acquisition est un bon indicateur de la tendance actuelle dans l'industrie du processeur et du firmware, à savoir : les fabricants estiment que la sécurité définie par logiciel jouera un rôle accru dans leurs ventes futures », a-t-il déclaré. « On peut d'ailleurs s'attendre à d'autres rachats de ce type cette année. On ne sait pas ce font certains fournisseurs spécifiques, ni où ils en sont dans leurs développements, mais dans le cas de fournisseurs de premier plan comme Intel, on peut dire que ce chemin est tracé depuis plusieurs années et que le fondeur a réalisé plusieurs acquisitions pour disposer d'un portefeuille de développement d'applications IoT avec la sécurité en tête ».

HP a testé 10 objets connectés parmi les plus populaires

Mais trop souvent, ces développements ne se retrouvent pas dans les produits qui utilisent ces composants. « Parce que les constructeurs de périphériques ne se préoccupent pas autant de la sécurité que les fabricants de composants, les clients doivent évaluer eux-mêmes la sécurité des produits qu'ils achètent et vérifier qu'ils ne présentent pas les mêmes défauts que ceux qui ont miné les architectures mainframe-client, client-web, web-to-mobile et cloud », a-t-il conseillé. « Nous devons sensibiliser les utilisateurs professionnels et le grand public afin qu'ils exigent que la sécurité des IoT ne soit pas une répétition de ce qui a pu se passer auparavant avec d'autres produits » a encore déclaré Earl Perkins.

HP a testé divers appareils grand public destinés à l'Internet des Objets et sa conclusion est que la plupart sont dépourvus de systèmes de sécurité fiables. Lors d'une première enquête réalisée l'an dernier HP s'était penché sur 10 appareils parmi les plus populaires. HP vient de sortir une nouvelle enquête qui porte cette fois sur les 10 systèmes de sécurité domestique les plus récents. Les deux font état de défauts dans la sécurité. Le constructeur n'a pas donné le nom des fabricants des appareils testés. Le meilleur conseil que HP pourrait donner aux entreprises serait d'isoler les dispositifs IoT du reste du réseau, de façon à contenir toute intrusion dans ses systèmes. L'autre conseil serait de vérifier que les fonctions de sécurité sont bien activées par défaut, ce qui n'est pas forcément le cas pour ces dispositifs. « Au cours de cette opération, les entreprises pourraient aussi en profiter pour renforcer les mots de passe, verrouiller les comptes après plusieurs tentatives de connexion infructueuses et ajouter l'authentification à deux facteurs », a ajouté HP.

Les 10 règles d'or de l'IoT

Cette préoccupation est si importante que le constructeur a décidé de parrainer dans le cadre de l'Open Web Application Security Project (OWASP), un groupe d'étude appelé » Internet of Things Top Ten », autrement dit « Les 10 règles d'or de l'Internet des Objets », afin de sensibiliser les utilisateurs sur les questions de sécurité et les aider à mieux cerner leurs contraintes quand ils construisent, évaluent et déploient des dispositifs IoT. Le groupe a établi la liste des dix principaux problèmes de sécurité auxquels peuvent être confrontés les dispositifs IoT, et comment les prévenir. Il cite notamment des interfaces Web non sécurisées, un système d'authentification insuffisant, des options de configuration limitées, des failles dans le logiciel et dans le firmware, ou encore un cloud et des interfaces mobiles mal sécurisées ou des défaillances dans la sécurité de la couche transport.

Selon une enquête réalisée le mois dernier par Gartner, « la nécessité de sécuriser les objets IoT deviendra encore plus urgente quand les entreprises s'appuieront sur les objets connectés pour accroitre leur rentabilité ». En effet, sur les 463 clients interrogés par Gartner, 63 % ont déclaré que dans les cinq ans à venir, soit l'IoT transformera entièrement leur activité, soit il leur procurerait de nouveaux revenus conséquents ou il leur permettrait des économies de coûts. Selon Gartner, les fabricants et les commerces de détail seront les plus concernés par l'IoT, mais ce sera moins le cas des institutions gouvernementales, de l'éducation, des secteurs de la banque et de l'assurance.

La sécurité assurée par les fournisseurs de composants

Earl Perkins pense que ce sont les fabricants de composants qui prendront en main la question de la sécurité des objets connectés. Selon lui, les fabricants de dispositifs auront d'autres préoccupations de sécurité, et les fournisseurs qui utiliseront ces dispositifs pour fournir des services de sécurité auront aussi d'autres priorités. « Quand on passe en revue la chaîne d'approvisionnement jusqu'à l'utilisateur final, professionnel ou grand public, chacun aura ses exigences de sécurité », a-t-il ajouté. « J'aimerai croire que chacun saura ce qu'il a à faire pour offrir de la sécurité de bout en bout, mais je crains que ce ne soit l'exception plutôt que la règle ».