Une équipe de l’UE a conçu un système automatisé de vérification de la sécurité de l’Internet des objets (IdO). Cela permettra de disposer d’une meilleure détection des vulnérabilités, tout en laissant plus de temps aux développeurs de logiciels pour résoudre les problèmes.

Économie numérique

Sécurité

L’IdO fait référence aux objets ordinaires – autres que les ordinateurs, les téléphones et les tablettes – disposant d’une connexion Internet. La famille des objets IdO est vaste, mais il s’agit souvent d’appareils électroménagers, de dispositifs médicaux et de compteurs de services publics. Bien que les connexions fonctionnent correctement en pratique, elles utilisent une multitude de technologies de communication et, pour tout autant de raisons, les niveaux de sécurité varient de manière considérable. De nombreuses connexions s’avèrent très peu sûres et sont vulnérables au piratage informatique. Certaines cyberattaques de ce type ont déjà eu de graves conséquences. Le projet SecIoT, financé par l’UE, a contribué à combler ces lacunes en matière de sécurité. Les experts en sécurité IdO sont relativement rares, alors que la demande en matière de consultations relatives à la sécurité IdO est en augmentation. L’équipe du projet a donc élaboré un plan pour un système expert automatisé de cybersécurité, destiné aux entreprises fabriquant des appareils IdO. Au final, le système permettra aux fabricants de tester la vulnérabilité de leurs produits et d’y apporter les améliorations nécessaires. Des tests de sécurité automatisés «Notre objectif premier consistait à appréhender la complexité des solutions IdO existantes», explique Mme Olga Pavlovsky, responsable du projet. «Malgré le fait que la plupart des périphériques IdO soient relativement bon marché, ce sont des monstres de complexité dont la construction s’appuie sur plusieurs couches matérielles et logicielles.» Pour représenter cette complexité, les chercheurs ont effectué des tests de sécurité sur de nombreux appareils. Cela a permis d’établir une méthodologie universelle pour les tests de vulnérabilité, ce qui a également constitué une avancée vers une analyse automatisée des vulnérabilités. L’analyse des vulnérabilités est effectuée par le biais de logiciels spéciaux (des analyseurs de sécurité) qui évaluent les défenses d’un dispositif cible. Ce processus prend beaucoup de temps mais il s’agit également d’une tâche routinière, par conséquent propice à l’automatisation. L’automatisation de SecIoT permet d’utiliser simultanément plusieurs analyseurs de sécurité. Une interface simple Une interface système conviviale permettra aussi bien aux experts en sécurité qu’aux développeurs de logiciels ne disposant pas d’une telle expertise d’effectuer une analyse des vulnérabilités. Le logiciel suggérera certains types d’analyses que l’utilisateur pourra accepter ou ignorer. L’analyse examine les réseaux, les systèmes et les autres matériels et logiciels qui constituent souvent une source majeure de vulnérabilité. L’interface proposée offrira une grande facilité d’utilisation, tandis que les multiples analyseurs de sécurité intégrés détecteront les vulnérabilités de code qu’un humain aurait peu de chances de déceler. Le système du projet présentera les résultats de l’analyse sous la forme d’un rapport facile à lire suggérant des moyens de résoudre les problèmes de sécurité rencontrés. La simplicité du système permettra également aux développeurs d’exécuter des analyses de vulnérabilité aussi souvent que nécessaire pendant le développement, au lieu de ne lancer qu’une seule exécution à la fin, comme cela est fait habituellement. Les problèmes de sécurité détectés tôt au cours du processus sont plus faciles à résoudre. «Les experts seront ainsi en mesure de consacrer plus de temps à la résolution des vulnérabilités», a déclaré Mme Pavlovsky. «Cela réduira le nombre de problèmes présents dans les appareils et les logiciels qui parviennent à toucher les utilisateurs finaux.» L’équipe espère ensuite améliorer la conception. Un axe d’amélioration particulier concerne le fait que le système automatise actuellement le balayage des vulnérabilités des couches de sécurité 4 à 7, alors que les couches 1 à 3 ont fait l’objet d’une vérification manuelle. L’équipe prévoit d’automatiser les tests sur plusieurs couches. Cette mise à niveau, ainsi que les autres qui sont prévues, permettront au logiciel de traiter encore plus de situations de sécurité IdO et de détecter davantage de vulnérabilités. À l’échelle mondiale, le marché de l’IdO devrait atteindre près de 10 milliards de dollars d’ici 2025. Étant donné que l’équipe du projet en est encore à définir quelle est la meilleure application pour le système, les chercheurs hésitent à se lancer dans des prévisions de marché. Néanmoins, même une petite part de ce marché s’avérerait très lucrative pour les PME européennes.

Mots‑clés

SecIoT, sécurité, IdO, analyse de vulnérabilité, analyseur de sécurité, Internet des objets, développeur de logiciels